LinkedIn: i cookie per l'accesso sarebbero insicuri

Si torna ancora una volta a parlare delle problematiche di sicurezza connesse all’impiego di “cookie insicuri”. Nelle scorse ore, dopo l’annuncio delle scorse settimane dell’entrata in borsa da parte di LinkedIn, il social networking utilizzato da parte dei professionisti è stato oggetto di alcune critiche relativamente alle modalità con cui vengono gestiti i cookie.

Rishi Narang, ricercatore indipendente, sostiene che LinkedIn avrebbe impostato una scadenza dei cookie troppo avanti nel tempo. Dopo aver effettuato il login sulla piattaforma sociale, infatti, inserendo le credenziali d’accesso corrette (nome utente e password), i server di LinkedIn creano un cookie – denominato LEO_AUTH_TOKEN – sul sistema dell’utente. Tale oggetto viene utilizzato come chiave per garantire l’accesso all’account senza dover digitare nuovamente username e password.

Sebbene siano molti i siti web ad utilizzare, com’è ovvio, un approccio similare, Narang contesta la data di scadenza del cookie di LinkedIn che ha una durata pari addirittura ad un anno. Allorquando ci si dovesse collegare ad una rete potenzialmente utilizzata anche da parte di malintenzionati, questi ultimi potrebbero agevolmente catturare il contenuto del cookie ed effettuare il login su LinkedIn come si trattasse di un altro utente. Ciò senza conoscere nome utente e password corretti. “Anche cambiando la password e tutte le impostazioni offerte dalla piattaforma“, ha aggiunto il ricercatore, “il vecchio cookie resta sempre e comunque valido garantendo all’aggressore pieno accesso agli account altrui“.
La sottrazione del contenuto dei cookie può avvenire da qualunque sistema collegato alla medesima rete locale (sia cablata che wireless) usando un qualunque software di “packet sniffing“. WireShark (ved. questi spunti) è probabilmente uno dei software più efficaci ed allo stesso tempo più semplici da usare per lo “sniffing” dei pacchetti dati anche se il problema è stato ampiamente riportato in auge, di recente, dagli autori di Firesheep (ved. questi articoli).

LinkedIn, da parte sua, ha già dichiarato di aver cominciato a mettere in campo i primi passi per mettere in sicurezza gli account degli utenti registrati. Per il momento, i tecnici della piattaforma hanno invitato ad utilizzare sempre reti wireless sicure ed eventualmente ad attivare connessioni VPN ove possibile.
Il protocollo SSL è al momento utilizzato per lo scambio di informazioni sensibili quali, ad esempio, le credenziali di login ma i token di accesso sono ancora veicolati “in chiaro”. LinkedIn non si è però espressa circa le accuse sollevate da Narang per ciò che concerne la durata del cookie.

Nei giorni scorsi aveva preso il via l’IPO di LinkedIn – offerta al pubblico dei titoli della società – che ha posto sul mercato 8.740.000 azioni a 45 dollari l’una, in parte immesse sul mercato dalla stessa società, in parte dai suoi azionisti. Gli analisti sottolineano che si tratta di una cifra importante e forse anche inattesa, considerando per altro che LinkedIn ha dichiarato utili per 15 milioni di dollari su un fatturato di 243 milioni. L’azienda dispone però di un capitale indiscusso, costituito dagli oltre 100 milioni di utenti business che utilizzano il network sociale.