Bypassare il login a una WiFi e saltare la registrazione: una pratica sempre più diffusa

Gli esperti di Flashpoint hanno segnalato che l’utilizzo dei cosiddetti HTTP injectors è sempre più diffuso.
Si tratta di componenti software per permettono di saltare la registrazione WiFi consentendo l’accesso alla rete Internet e la navigazione online superando il controllo esercitato dai captive portal.

Com’è noto, infatti, molti esercizi commerciali e tanti fornitori di accesso a Internet espongono una pagina di autenticazione a ciascun utente che, dal proprio dispositivo WiFi, tenta di collegarsi all’hotspot.
La pagina di login mostrata dal captive portal consente l’utilizzo della rete WiFi solo da parte degli utenti che confermano la loro identità (ad esempio effettuando l’accesso via Facebook o inserendo il numero di un’utenza mobile).

Flashpoint ha però rilevato che gli HTTP injectors vengono sempre più frequentemente adoperati per bypassare il login WiFi e accedere alla rete Internet senza errori di autenticazione.
Non è una novità: gli HTTP injectors modificano le intestazioni dei pacchetti dati HTTP inserendovi riferimenti tesi a trarre in inganno i captive portal.
Flashpoint ha scoperto che molti di questi HTTP injector vengono diffusi attraverso canali Telegram gestiti da soggetti con sede in America Latina.

Gli analisti di Flashpoint hanno riassunto “le basi” dell’attacco che inizia con la connessione a server remoto il cui utilizzo viene consentito dall’operatore che fornisce il servizio WiFi, anche senza registrazione. La sessione così attivata viene poi sfruttata per instaurare la connessione con un proxy SSH e navigare in rete senza problemi alterando il contenuto degli header HTTP.

È il principio su cui si basano applicazioni come Psiphon Pro e HTTP Injector per i dispositivi Android.

In alternativa, sta prendendo piede anche il cosiddetto tunneling DNS: dal momento che molte WiFi sui quali vengono usati captive portal non bloccano il traffico DNS, alcuni utenti più smaliziati hanno cominciato a sfruttare questa caratteristica per navigare in rete senza autenticarsi sfruttando un server DNS appositamente configurato per smistare tutte le richieste di connessione e bypassare la procedura di login.
Il tunneling DNS viene tipicamente realizzato ricorrendo al software Iodine, disponibile nei due moduli client e server (vedere, ad esempio, questo approfondimento).

Il consiglio è quello di verificare attentamente la configurazione dei propri captive portal verificando se fosse possibile porre in essere attacchi come quelli illustrati. Diversamente, il rischio è quello di permettere l’accesso alla rete Internet da parte di utenti del tutto sconosciuti e difficilmente identificabili.