MegaLab.it
Stampa Articolo
Aperiodico gratuito di informatica
 
Centro sicurezza PC, sicurezza, allarme, allerta, avviso

Il completamento automatico pone a rischio i browser web

a cura di Zane
23/07/2010 - news
Sicurezza - Basta un form e qualche campo nascosto per sottrarre informazioni riservate da Safari e dalle versioni meno recenti di Internet Explorer. Ma ci sono sviste minori anche in Firefox e Chrome. Frattanto, si parla di un difetto che potrebbe cancellare tutti i cookie in pochi secondi.

L'esperto di sicurezza Jeremiah Grossman dimostrerà, nel corso di un suo intervento previsto per la settimana entrante in occasione della manifestazione Black Hat Technical Security Conference di Las Vegas, come sfruttare alcune nuove sviste di sicurezza rintracciate nei vari browser web per causare vari problemi agli ignari naviganti.

Grossman ha anticipato a The Register alcune delle proprie scoperte.

Come ti sottraggo dati sensibili

Il difetto più grave è stato rilevato nella funzionalità di completamento automatico di Safari e delle versioni 6 e 7 di Internet Explorer (non si parla della "8", che, si deduce, essere immune). Come noto, tale caratteristica consente al browser di conservare alcune informazioni immesse nei form digitali e ri-suggerirle in seguito, evitando così all'utente il disagio di dover digitare nuovamente stringhe quali nome, cognome, indirizzo eccetera.

Grossman ha però scoperto che, semplicemente creando una pagina web dotata di form nascosti, è possibile far scattare la funzione automaticamente via Javascript. Questo permette al webmaster di sottrarre tali informazioni senza che l'utente ne sia al corrente.

Più in dettaglio, ha anticipato l'esperto, per aggredire Safari è sufficiente stimolare i campi nascosti immettendo i vari caratteri: non appena il navigatore riceve uno di quelli che compongono l'inizio di una stringa di testo memorizzata, procede automaticamente al completamento.

Il difetto è ancora più accentuato sotto Mac OS X, poiché il completamento automatico attinge non solo ai dati già immessi nel browser, ma anche alle informazioni presenti in rubrica

Ancora più semplice violare Internet Explorer 6 o 7: in questo caso, basta simulare la pressione del tasto "freccia giù" due volte per accedere alle informazioni.

Secunia, inspiegabilmente, reputa comunque che il difetto non sia particolarmente grave: il gruppo danese ha infatti contrassegnato la debolezza con uno dei più bassi livelli di criticità.

Rubare username e password è possibile

Firefox e Chrome non sono interessati dal difetto in questione (nulla è stato detto in merito ad Opera), ma mostrano però il fianco ad un attacco differente, portando il quale un aggressore potrebbe indurre il browser ad inviare automaticamente ad un determinato sito web le credenziali d'accesso.

Un utente ostile potrebbe capitalizzare sul problema e costruire una pagina malevola in grado di intercettare tali dati, memorizzandoli quindi sul server controllato dal cracker.

Il rischio è pesantemente mitigato dal fatto che, affinché la trappola possa funzionare, è necessario che il servizio del quale si vuole sottrarre il log-in sia a propria volta afflitto da un errore nella validazione dei parametri, e sia quindi possibile impostare un assalto di tipo Cross-site scripting (XSS).

Cancellare tutti i cookie in 2,5 secondi

Grossman ha parlato anche di un altro baco nei programmi per la navigazione del web. Poiché Firefox e soci iniziano ad eliminare i cookie più datati per far posto a quelli più recenti quando il numero totale raggiunge i 3.000 circa, l'esperto ha illustrato come, predisponendo un server malevolo in grado di inviare migliaia di cookie al visitatore, un cracker potrebbe riuscire con facilità ad eliminare tutti i biscotti della propria vittima.

Il tutto richiede 2,5 secondi, ovvero ben più di quanto sia generalmente necessario per portare aggressioni via web, ma comunque ancora troppo pochi affinché la vittima possa reagire in un qualche modo.

Il difetto non è, evidentemente, particolarmente grave... ma potrebbe comunque causare qualche disagio, soprattutto ricordando che i cookie sono usati sempre più spesso come "gettone" per l'autenticazione automatica sulle varie piattaforme.

Un "disclosing" poco prudente?

Il ricercatore, anticipando le numerose critiche che sempre più spesso piovono su coloro che rivelano pubblicamente falle di sicurezza senza concedere alle software house il tempo di approntare versioni corrette, ha assicurato di aver contattato sia Apple il 17 giugno scorso, senza però ricevere alcuna risposta oltre al primo messaggio di conferma automatico.

Nulla è dato sapere invece in merito alle risposte di Microsoft e delle altre aziende chiamate in causa.

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .

Copyright 2008 MegaLab.it - Tutti i diritti sono riservati