Sono stati da poco risolti i problemi relativi alle estensioni di Chrome, ma per Google i problemi sulla sicurezza non sono finiti. Il nuovo obiettivo degli hacker è ora Google Maps, che può essere sfruttato per reindirizzare gli utenti a siti dannosi.
La complicità di Google
La messa a punto dell’attacco prevede l’utilizzo di Google Shortener, il servizio che permette la conversione di lunghi indirizzi web in brevi URL. Cliccando sul link, l’utente viene in automatico reindirizzato al sito web principale. La creazione di un redirect era possibile tramite il sito goo.gl, che da Aprile 2018 è stato reso utilizzabile solo da chi era già iscritto in precedenza.
È facile, quindi, dedurre che per un malintenzionato sia semplice nascondere un sito scam dietro a un indirizzo apparentemente affidabile. Ciò però non è possibile, grazie al sistema di sicurezza di Google che filtra gli indirizzi. Pertanto, per portare a termine l’attacco sarà necessario effettuare un secondo redirect, dopo quello primario offerto da goo.gl.
I ricercatori hanno scoperto che il secondo redirect viene effettuato proprio tramite un URL di Google Maps, con il servizio maps.app.goo.gl che fa da tramite tra il link visualizzato e il sito scam di destinazione.
Questo tipo di vulnerabilità viene definito “open redirect”. Quando un sito effettua un redirect, dovrebbe verificare che l’URL di destinazione abbia lo stesso dominio della pagina in questione. Se l’autenticazione fallisce, non dovrebbe essere concesso il reindirizzamento. Nei casi di open redirect, però, questa verifica non viene effettuata, compromettendo la sicurezza della navigazione.
Nel caso di Google Maps, la risoluzione del problema non dovrebbe essere troppo complicata. Infatti, sarebbe necessario reindirizzare gli utenti solo a URL che appartengono a una determinata lista di link affidabili. Se tale URL nel parametro “link” non appartiene a Google Maps, non c’è motivo di autorizzare il redirect.
