Google – Vulnerabilità Open Redirect

Abbiamo già accennato alla Vulnerabilità Open Redirect in un precedente articolo: https://www.hackerwebsecurity.com/ispezione-manuale-con-owasp-zap/

In parole povere è una vuln che consente ad un attaccante di manipolare un URL al fine di dirottare un utente su un sito malevolo sfruttando un URL lecito. La vittima potrebbe cliccare sul sito A per poi finire sul sito B senza accorgersi di nulla, soprattutto se l’attaccante a creato una versione credibile del sito di destinazione.

Ora tratteremo due casi reali che vedono come protagonista Google.

Google Open URL Redirect CASO 1

Nel 2016 è stata scoperta questa Open Redirect in Google.
Abbiamo realizzato una piccola dimostrazione personalizzata. Quando un utente cliccherà il seguente link verrà dirottato alla pagina di login di Gmail, al che inserirà nome utente e password ed anche il codice per il doppio accesso (per chi ne avesse uno). Fin qui tutto ok, si tratta solo della pagina originale di Gmail! Al momento del login invece di finire nella pagina prevista, la vittima sarà dirottata nel sito malevolo.

Proof of Concept :

https://accounts.google.com/ServiceLogin?continue=https%3A%2F%2Fappengine.google.com%2F_ah%2Fconflogin%3Fcontinue%3Dhttps%3A%2F%2Fwww.hackerwebsecurity.com%2F&service=ah

Dopo aver cliccato il link di sopra sarete reindirizzati verso il nostro sito e vedrete la schermata riportata in foto di seguito.

Qui potrete trovare l’articolo dello scopritore: https://vagmour.eu/google-open-url-redirection/ con tutti i dettagli.

Google Open URL Redirect CASO 2

Questa è una tecnicha molto sfruttata nel Phishing.

In una delle tante email che riceviamo alla nostra casella Gmail, ci siamo imbattuti in questa. Si tratta della normalissima email di riepilogo inviata da Wordfence (un Firewall di WordPress).

Cliccando su uno dei link dall’email abbiamo notato un redirect di Google.

Collegamento Originale

https://www.google.com/url?q=https%3A%2F%2Fwww.hackerwebsecurity.com&sa=D&sntz=1&usg=AFQjCNHD2TXkrnUHD59YwHCgD5UkjkIZbQ

in pratica Google prima di dirottarci al URL richiesto, si è interposto tra il mio click ed l’host finale. Da qui l’ispirazione, abbiamo provato a modificare la destinazione finale, aggiungendo al posto di www.hackerwebsecurity.com il sito example.com. abbiamo anche pensato che forse venisse utilizzato un hash come sistema di riconoscimento, per cui abbiamo modificato anche l’hash.

Collegamento Manipolato

echo -n http://example.com | md5sum
a9b9f04336ce0181a08e774e01113b31 –

https://www.google.com/url?q=http%3A%2F%2Fexample.com&sa=D&sntz=1&usg=b82652d1e104caa0c1c2f17706daff06

Oppure così

https://www.google.com/url?q=http://example.com

Il risultato finale sarà lo stesso in entrambi i casi, si verrà rediretti alla pagina qui di seguito.

Un avviso di reindirizzamento, che ai fini del phishing può essere tutto sommato accettabile.

Il perchè di questo avviso forse è possibile dedurlo dal codice JavaScript e HTML estratto dalla pagina di Google del Collegamento Originale :

https://www.google.com/url?q=https%3A%2F%2Fwww.hackerwebsecurity.com&sa=D&sntz=1&usg=AFQjCNHD2TXkrnUHD59YwHCgD5UkjkIZbQ

Codice JS e HTML

<HTML><HEAD>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>Redirecting</TITLE>
<META HTTP-EQUIV="refresh" content="1; url=https://www.hackerwebsecurity.com">
</HEAD>
<BODY onLoad="location.replace('https://www.hackerwebsecurity.com'+document.location.hash)">
Redirecting you to https://www.hackerwebsecurity.com</BODY></HTML>

Un buon sistema per sfruttare questa tecnica è avvalersi dell’URL Shortner di Google, per meglio cammuffare l’URL malevolo:

Esempio 1

https://www.google.com/url?q=https%3A%2F%2Fgoo.gl/UbP9Zs&sa=D&sntz=1&usg=219722a4de5b05641f9e8077909480c0

Esempio 2

https://www.google.com/url?q=https://goo.gl/UbP9Zs

Non abbiamo approfondito oltre, se intendete perfezzionare la tecnica esposta nel CASO 2  potreste condividere i risultati con noi 😉 se vi và!