La vulnerabilità scoperta da Punto Informatico nel sistema di Webmail di TiscaliNet può seriamente compromettere la privacy e la sicurezza degli utenti e-mail del noto portale di Tiscali.
Secondo quanto da noi accertato è possibile, con modeste conoscenze tecniche, ottenere l’indirizzo HTTP necessario per accedere alla casella di posta elettronica su Web di un utente TiscaliNet e, aggirando il controllo su nome utente e password, poter leggere, cancellare ed inviare mail come se si fosse i legittimi proprietari di quella mailbox.
Vedremo in seguito che questo è possibile soltanto nel caso in cui l’utente clicchi su di un URL contenuto all’interno di una e-mail e finché lo stesso utente rimanga loggato nella sua mailbox su Web.
Nei giorni scorsi, aiutati anche da Anna Bruno di Fullpress.it, il nostro staff tecnico ha provato le Webmail di una decina di fornitori di accesso ad Internet e, per quanto abbia potuto verificare, nessuno di questi sembra presentare la stessa vulnerabilità scoperta nel sistema di TiscaliNet.
Purtroppo ieri, pur avendo cercato fin dalla mattinata di metterci in contatto con qualche responsabile di Tiscali, non abbiamo ottenuto da loro nessuna risposta. Rimanendo quindi a disposizione per ogni chiarimento, andiamo ad esporre più in dettaglio il problema.
Le vulnerabilità
La debolezza insita nel sistema di Webmail di Tiscalinet è tutto sommato abbastanza banale. Il problema si pone nel momento in cui l’utente clicca, dall’interno di un’e-mail contenuta nella propria mailbox su Web, un link attivo verso un sito.
Cliccando su tale link l’utente di fatto svela, al server di destinazione, il suo indirizzo Web di provenienza, conosciuto anche dagli addetti ai lavori come “referrer”. Il referrer può essere ottenuto, dagli amministratori di quel sistema, in svariati e semplicissimi modi: basta stampare la variabile d’ambiente $HTTP_REFERER con una sola riga di un qualsiasi linguaggio di script, o utilizzare altri molteplici strumenti di statistica e monitoraggio degli accessi.
Ma fin qui tutto normale: l’indirizzo di provenienza viene fatto filtrare verso l’esterno da moltissimi altri sistemi di Webmail senza per questo mettere a repentaglio la sicurezza dei propri utenti.
Con TiscaliNet succede invece che se un malintenzionato prende l’indirizzo di provenienza di un ignaro utente che in quel dato momento ha cliccato sul suo server e lo mette dentro ad un browser, lo spione si ritroverà dritto dritto dentro la mailbox su Web di quell’utente senza che questo si accorga di nulla.
Per capire meglio come tutto questo possa avvenire abbiamo chiesto il parere di un esperto, Daniele Bochicchio, content manager di ASPItalia.com.
Il parere dell’esperto
“Un bug molto grave, non c’è che dire”, ha commentato Bochicchio. “Si può avere accesso alla posta di un utente collegato alla Webmail di TiscaliNet semplicemente ottenendo il suo indirizzo di referrer. Fino alla scadenza della sessione, è sufficiente inserire l’URL esatto et voilà: come per magia, si potrà accedere alla mailbox di un utente loggato sul Web in quel momento”.
Basterebbe ad esempio far circolare una mail o una newsletter che abbia come unico intento quello di far cliccare gli utenti su di un certo “indirizzo trappola” in cui vengano registrati tutti i referrer dei visitatori.
“E’ un bug grave – continua Bochicchio – soprattutto perché, sebbene possa in teoria essere sfruttato solo da chi dispone di un server Web e nel caso in cui l’utente acceda a quel server dalla sua mailbox, una volta scoperto (e non è detto che qualcuno non lo abbia fatto prima di voi) potrebbe davvero essere alla portata di un bel po’ di malintenzionati.”
A tal proposito, e visto che purtroppo non conosciamo i tempi di intervento di TiscaliNet, è bene che gli utenti del noto servizio di Webmail evitino di cliccare URL sconosciuti contenuti all’interno delle loro e-mail quando queste vengano lette su Web.
Da un’analisi delle e-mail inviate tramite la Webmail di TiscaliNet, Bochicchio ha potuto verificare che il prodotto utilizzato da Tiscali per la gestione del suo sistema di posta on-line è VisualMail 3.0. Da una veloce ricerca sul database di security-focus.com non sembrerebbe che questo software soffra di un bug noto simile a quello descritto qui.
Il nostro esperto ha poi fatto notare che il sistema di Webmail di Tiscalinet “si basa unicamente su di un cosiddetto ‘time stamp’, ovvero una codifica dell’ora corrente: dunque non c’è nessun controllo, neanche minimo, sulla correttezza della sessione e sull’identità della persona che accede al servizio. Sarebbe bastato usare – sempre a parere di Bochicchio – un semplice cookie per garantire ai propri utenti quella sicurezza che Tiscali, uno tra i maggiori ISP europei, non può certo mettere in secondo piano”.
Bochicchio conferma le indagini fatte dallo staff di Punto Informatico e sostiene che altri sistemi di posta Web, come ad esempio quello di SuperEva o di HotMail, “hanno sistemi che a prima vista sono più sicuri, in quanto non passano i dati sulla sessione con il metodo GET, evitando così vulnerabilità di questo tipo. Altri ancora effettuano un banale encoding della stringa contenuta nell’URL con una chiave privata o utilizzando un semplice shifting”.