Ieri Fineco ha finito di risolvere tutte le vulnerabilità da me segnalate. Devo dire che il team ha svolto un buon lavoro anche in tempi relativamente brevi dalla data di pubblicazione.

Ho avuto la possibilità di parlare con alcuni esperti del Fineco Network Staff che, oltre a ringraziarmi, mi hanno rassicurato che tutte le vulnerabilità sono state risolte e che i clienti posso sentirsi completamente sicuri.

Ora posso ritenermi soddisfatto.

Come promesso pubblico i dettagli.

Gli indirizzi grazie ai quali si poteva eseguire codice javascript sono i seguenti:

http://online.fineco.it/public/investor/spotT.asp?path=codice-javascript

http://online.fineco.it/public/banking/demoServizi.asp?tab=codice-javascript

Mentre il redirect avveniva tramite questo url:

http://adserver.fineco.it/adserver/adclick.php?bannerid=0&dest=url-di-destinazione

Per aver la conferma di quanto pubblicato ho girato un breve video con alcuni esempi a scopo dimostrativo.

Ora sto iniziando a verificare la sicurezza di altre banche, in particolare di BNL che non ha ancora risolto le vulnerabilità segnalate lo scorso anno da me e Vincenzo.

Preambolo

Per motivi di sicurezza non avrei voluto pubblicare questo articolo, ho provato in tutti i modi a contattare Fineco: via telefono passando di centralino in centralino, rivolgendomi a Capitalia, gruppo che fa capo a Fineco, inviado decine di email, ma dopo due settimane senza aver ottenuto alcuna risposta, l’unico modo che ho per attirare l’attenzione dei responsabili del portale è scrivere su questo blog nella speranza che qualcuno ne venga a conoscenza.

Due vunlerabilità XSS

Sul sito Fineco.it ho riscontrato due vulnerabilità di tipo Cross Site Scripting (XSS) che permettono di eseguire codice javascript all’interno delle pagine.
Tramite un XSS si possono confezionare truffe online talmente credibili da non sembrare tali, un esempio lo potete osservare nell’immagine.

Con la scusa di indirizzare ad una pagina sicura del server Fineco, un malintenzionato potrebbe tranquillamente guadagnarsi la fiducia dell’utente per poi fargli eseguire il login su pagina esterna e carpirgli i dati sensibili.

Solitamente gli attachi phishing avvengono tramite l’invio di email nelle quali si invita a cliccare su un link che porta la vittima ad effettuare il login su un sito truffa. Ormai i più prudenti si accorgono che il collegamento in realtà non porta alla loro banca, ma in questo caso anche un utente particolarmente attento potrebbe diventare una potenziale vittima per il semplice fatto che il link punta veramente al sito della sua banca, ma successivamente avviene un reindirizzamento ad una pagina esterna.

Redirect con l’AdServer

Un’altra vulnerabilità risiede su un adserver, ovvero un server creato con il solo scopo di gestire i banner pubblicitari. In questo caso non viene effettuato nessun controllo sulla variabile path di destinazione del banner, pertanto sostituendo il percorso di destinazione con un indirizzo esterno viene portato a compimento un redirect.

Misure cauletative

Finchè Fineco non risolverà le vulnerabilità, per motivi di sicurezza non ritengo opportuno pubblicare nessuno dei possibili exploit, successivamente renderò noti dettagli e documentazione.

Come posso proteggermi da simili attacchi?

La prudenza è d’obbligo ma a volte non basta. Il mio consiglio è di installare la toolbar Netcraft in grado di rilevare gli attacchi XSS, verificare l’autenticità di un sito internet e segnalarvi immediatamente siti fraudolenti.

UPDATE: FINECO HA CORRETTO TUTTE LE VULNERABILITA’