In pratica: un team di ricercatori americani che si occupano di sicurezza ha trovato una vulnerabilità che affligge tutti i browser e che permette a chi gestisce un sito di far clickare l’utente dove vuole, costringendolo, di fatto, ad agire sotto il suo controllo mentre si trova sulle pagine del suo sito.
La tecnica usata viene chiamata clickjacking (“autostop dei click”, “scippo dei click” o qualcosa del genere).
La scoperta di questa vulnerabilità risale al 15 di Settembre ma è stata mantenuta semi-segreta fino a ieri su richiesta di Adobe (che ha una grave vulnerabilità, correlata a questa, in uno dei suoi prodotti – quasi certamente Flash – ed ha chiesto tempo per correggerla).
Cos’è il Clickjacking
In buona sostanza, il clickjacking consiste nell’appropriarsi dei click che l’utente esegue su un oggetto A (che si trova all’interno di una pagina web) e redirigerli, a sua insaputa, sull’oggetto B. L’oggetto B si trova dentro la stessa pagina web ma potrebbe non essere visibile.
Ad esempio, l’utente potrebbe essere indotto a fornire una grande quantità di click mettendogli a disposizione un giochino scritto in Adoble Flash. I click dell’utente (anche solo una parte di essi) potrebbero essere rediretti verso un pulsante invisibile, nascosto dentro un IFRAME, e usati per fargli sottoscrivere l’abbonamento ad una newsletter o cose simili.
Con questa tecnica si può portare l’utente a svolgere qualunque operazione desiderata senza che l’utente stesso se ne possa accorgere.
C’è da Preoccuparsi?
Si, abbastanza.
Questa tecnica NON può essere usata per costringervi ad acquistare la vostra ottava Fiat Punto e tenere in vita la FIAT contro la vostra volontà. L’hacker dovrebbe disporre del numero di un conto corrente su cui addebitarvi l’acquisto per poterlo fare. Non rischiate quindi nulla di “concreto”.
Il sito della vostra banca (l’unico che abitualmente tratta i vostri dati finanziari) è, ovviamente, sicuro.
Tuttavia, questa vulnerabilità riguarda tutti i browser e non può essere corretta in tempi brevi. Di conseguenza è un problema molto serio per Internet. Non è possibile sapere adesso che uso ne faranno gli “hacker” domani o fra dieci giorni. Potrebbero inventarsi applicazioni pericolose che ora non riusciamo ad immaginare.
Per esempio, tutti i siti a cui siete soliti dare il vostro numero di carta di credito potrebbero usare questa tecnica per vendervi qualcosa contro la vostra volontà. Non c’è da dubitare di Amazon, ovviamente, ma forse di certi altri siti (porno…) si può legittimamente dubitare.
Quali browser ne sono afflitti?
Tutti.
Più esattamente, tutti quelli che supportano il tag IFRAME ed alcune altre funzionalità, tra cui JavaScript. Sia Microsoft Internet Explorer (tutte le versioni posteriori alla 4.0, fino alla 8.0) che Mozilla Firefox (tutte le versioni) sono vulnerabili. Opera, Goggle Chrome, Konqueror, Safari e molti altri browser sono vulnerabili.
Uno dei pochi che non è vulnerabile è il browser “solo testo” Lynx (ed il suo equivalente Links) perchè non supportano le funzionalità necessarie. Purtroppo, i browser di questo tipo sono pressochè inutilizzabili sulla moderna Internet.
La vulnerabilità in questione può essere sfruttata con più facilità se è attivo JavaScript ma non richiede JavaScript per essere sfruttata. Lo si può fare anche senza. È solo un po’ meno comodo. Disabilitare JavaScript, quindi, NON risolve il problema (ma lo attenua).
Come ci si difende?
Usando un browser che non supporti le funzionalità necessarie all’exploit, come Lynx (e sopportando pazientemente un WWW in modo solo testo).
Oppure, disabilitando sia lo scripting JavaScript che la funzionalità IFRAME del browser. Se usate Mozilla Firefox dovete installare il plug-in NoScript di Giorgio Maone ed attivare (dalla pagina delle preferenze del plug-in) la funzionalità “Forbid ”.</p> <p>Se usate un altro browser dovete chiedere a qualcun’altro come sia risovibile questo problema perchè io non he proprio idea.<br /> Chi deve “mettere la pezza”?</p> <p>I produttori dei browser (Microsoft, Mozilla, Opera, KDE, Gnome, etc.). Gli sviluppatori di siti web e gli amministratori dei siti non possono farci granchè.<br /> Conclusioni</p> <p>Cercherò di tenervi aggiornati.</p> <p>Nel frattempo, state in campana. Usate Firefox, installate NoScript ed disabilitate l’IFRAME.</p> <p>Cercate di tenervi aggiornati di vostra iniziativa, anche. Leggete i magazine del Web e magari iscrivetevi a qualche newsletter sulla sicurezza.</p>
[fonte: http://alessandrobottoni.wordpress.com]
