skip to main | skip to sidebar
40 commenti

Safari, IE, Firefox si fanno rubare dati e password

I principali browser si fanno rubare dati e password semplicemente visitando un sito. Provare per credere


Questo articolo vi arriva grazie alle gentili donazioni di "antonella.ch*" e "motogio" ed è stato aggiornato dopo la pubblicazione iniziale.

Usate Safari, il browser di Apple, su Mac o Windows? Allora provate a visitare la pagina Web ha.ckers.org/weird/safari_autofill.html. con Safari versione 4 o la 5, la più recente. Cliccate sul pulsante Start che trovate nella pagina e state a guardare. In pochi secondi compariranno il vostro nome e cognome, il nome della vostra organizzazione, la città e lo stato in cui abitate e il vostro indirizzo di e-mail. Tutto senza che abbiate digitato nulla.

Tranquilli, quella pagina è una demo innocua, ma in una versione ostile della pagina i vostri dati personali possono essere trasmessi al gestore del sito senza che voi facciate nulla e senza che venga visualizzato il procedimento. In altre parole, con Safari è possibile rubare l'identità a un visitatore senza che se ne accorga. Addio anonimato. Immaginate di mettere una trappola del genere su un sito dal contenuto discutibile e di carpire così le identità dei visitatori. Le possibilità di spamming e di ricatto sono facili da intuire.

La segnalazione di questo baco imbarazzante è opera di Jeremiah Grossman, della WhiteHat Security. Grossman ha pubblicato un articolo nel quale spiega che il problema sta in una funzione molto conosciuta e pratica di Safari, il riempimento automatico (AutoFill): quello che capisce automaticamente quali informazioni immettere quando visitate una pagina Web contenente dei campi da compilare. Questa funzione è attivata per default (ossia salvo intervento dell'utente).

Il riempimento automatico è presente anche in altri browser, ma in Safari è realizzato in una maniera particolare: se l'HTML del modulo nella pagina Web visitata ha campi chiamati name, company, city, state, country o email, Safari li compila automaticamente attingendo ai dati personali dell'utente memorizzati nella rubrica degli indirizzi del sistema operativo (secondo TUAW, anche Safari per Windows è vulnerabile, ma in misura leggermente minore). E a differenza degli altri browser, lo fa anche se questi dati non sono mai stati immessi nel sito visitato o in un altro sito.

"Tutto quello che deve fare un sito ostile per estrarre di nascosto da Safari i dati della scheda della Rubrica è creare dinamicamente dei campi di testo in un modulo con i nomi citati sopra, probabilmente in modo invisibile, e poi simulare delle digitazioni dalla A alla Z usando Javascript" spiega Grossman. Per fortuna questa tecnica non consente di estrarre dati che iniziano con cifre, quindi non permette di rubare numeri di telefono o simili. Grossman ha avvisato Apple il 17 giugno scorso, ma la falla non è ancora stata rattoppata. In attesa che venga sistemata, gli utenti di Safari faranno bene a disabilitare il riempimento automatico andando nelle preferenze di Safari, cliccando sull'icona omonima e disattivando l'opzione Utilizza informazioni dalla mia scheda Rubrica Indirizzi.

Se usate altri browser, comunque, Grossman ha in serbo sorprese anche per voi. Tra pochi giorni presenterà ai partecipanti alla conferenza Black Hat a Las Vegas le dimostrazioni di come sfruttare meccanismi fallati analoghi presenti in Internet Explorer 6 e 7 (ma non in IE 8) e in Firefox e rubare anche le password degli utenti. Conviene quindi disattivare il riempimento automatico e cancellare i propri dati personali dalla rubrica, o sostituirli con dati fittizi, se non volete esporvi a questa vulnerabilità.

Come ciliegina sulla torta, Grossman mostrerà come cancellare di nascosto tutti i cookie di un utente che visita un sito, con tutti i disagi o danni che ne possono conseguire. Nei browser c'è un limite al numero di cookie che possono memorizzare, e quando viene superato questo limite i cookie più vecchi vengono eliminati per far posto a quelli nuovi. La tecnica descritta da Grossman non fa altro che indurre la vittima a visitare un sito che imposta silenziosamente un numero molto grande di altri cookie, che rimpiazzano quelli preesistenti. Bastano meno di tre secondi.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (40)
Se lasci il riempimento automatico abilitato ci casca anche Chrome.
Veramente non capisco il danno di vedersi cancellati i vecchi biscottini da colazione cookie. Io ho impostato il browser in modo che li cancelli ogni volta che viene chiuso.
Unico piccolo inconveniente: la volta successiva ci sono dati che vanno reimpostati daccapo, ma pazienza.
Buona pratica è quella di NON memorizzare password o campi prestabiliti nei browser. E' la prima cosa che disabilito.

Questa funzione abilitata di default può causare molti danni, anche senza hacker. Basta una cartella medica funzionante con un server web e una DB (LAMP) e uno studio con molti medici. Il broser memorizza utente e password e ogni medico/passante può vedere e fare cose che non dovrebbe.
Hai riciclato il facepalm multiplo? ;)
Dovresti correggere il titolo, non si estraggono le password!
Hai dato per scontato dall'inizio che parlando di Safari ti riferissi a Safari su Mac, ma lo si capisce solo a metà articolo quando dici che anche quello per windows è leggermente vulnerabile.
Non a caso Apple è il primo produttore al mondo per numero di vulnerabilità. Ho visto commenti accalorati di alcuni che sostengono come un numero dica poco e serva anche un'analisi qualitativa. Curioso siano gli stessi che quando era Microsoft in vetta a quella classifica dicevano esattamente l'opposto. Altrettanto curioso come da una parte sostengano la necessità di un'analisi qualitativa e dall'altra si guardino bene dall'andare anche solo a leggere l'elenco delle falle.

Altra nota: il problema di sicurezza riguarda Safari ultime versioni, quello per Internet Explorer riguarda l'obsoleta (seppur ahimè ancora utilizzata) versione 6 e la datata versione 7. Un po' come se parlassimo di Firefox 1 e 2, o di Safari 3 e 4.

In ogni caso non vedo perché mai utilizzare Safari, a meno che si stia navigando da iPhone / iPad (tra l'altro sono vulnerabili anch'essi?). Chrome c'è anche per Mac, no?

Accademia dei pedanti: al di là delle impostazioni, delle abitudini e delle preferenze del singolo individuo i cookie hanno la loro utilità. L'inconveniente che per te è piccolo per altri può costituire una perdita di tempo consistente. Tra l'altro la tecnica che ha citato Paolo dovrebbe, se ho ben capito, intervenire DURANTE la navigazione: in tal caso ti troveresti buttato fuori da una parte consistente dei siti in cui sei autenticato. Fastidioso se capita una volta; immagina il caso in cui qualcuno dovesse riuscire a lanciare questo tipo di attacco a intervalli regolari e magari ravvicinati.
Che c'è Paolo, hai finito le immagini "facepalm"?
Ma se cambio browser (io ho Firefox)? Quale mi consigliate di scegliere?
Non uso Safari, non uso "completamenti automatici, non visito sito "strani", ho i FFox settato a livello "paranoia".

Eppure due giorni fa un mio account gmail e' stato violato, con un accesso dalla Nigeria, mentre quello della consorte dalla Cina.

Si sa niente in merito?

Saluti
Michele
@ Hanmar
Come hai fatto ad accorgerti che è stato violato?
(Non vorrei che fosse capitato anche a me e non me ne fossi accorto)
onviene quindi disattivare il riempimento automatico e cancellare i propri dati personali dalla rubrica..

che si intende per rubrica?
Infatti, ho provato con Safari 4 su Windows e non trova una mazza. Cioè, bisogna usare la Rubrica di Windows? C'è chi la usa? o_O

Gli unici dati personali li ho su Thunderbird (sì, lo so che si possono estrarre con un programmino), ma lo script non li ha scovati.
In IE la pagina dà un simpatico errore di script e non visualizza niente. Per una volta Internet Explorer è più "sicuro" di Firefox.

La cosa non è così grave comunque, certo bisogna sacrificare la comodità di evitare di digitare le password alla "sicurezza" di non farsele fregare.

Personalmente consiglio di disabilitare l'autocompletamente ed usare programmi tipo Keepass o equivalenti per memorizzare le proprie password in un file criptato e poi "copiaincollarle" dove serve.
@ Yos:
me l'ha comunicato Google, annunciandomi che c'era stata attivita' dell'account dalla Nigeria.

Le info sull'uso qui:
LINK

Saluti
Michele
Mi spiace ma con me non funziona!
Trova sì il nome e la città, ma NON trova la mia mail.
Quindi io sono al sicuro, come sempre.
@John Titor: d'altra parte arrivando dal futuro queste cose le hai già lette.

:D
Si ma non estraggono nessuna password così?!!
io ho l'auto completamento ma non mi estrae una ceppa... Paolo, che fai prendi abbagli?

ps: Mac OSX e Safari 5
io ho l'auto completamento ma non mi estrae una ceppa... Paolo, che fai prendi abbagli?

Ho provato personalmente. Funziona.
@Paolo:

che dirti, sarà una mezza patacca questo sistema... safari->preferenze->autofill è tutto spuntato... da dove dovrebbe prenderle le informazioni? rubrica?
Forse dipende dalle impostazioni del Javascript (sempre che in Safari si possano modificare).
"I principali browser..."...beh, Safari col suo 3,6% non mi sembra tanto "principale"!
C'è più gente che usa (ancora) IE6.
Ma essendoci Apple di mezzo tutto viene ingigantito a dismisura...
Stasera provo con lo sfigato Opera e vediamo come va, visto che io di password salvate ne ho da buttar via!
nel blog dell'autore c'è scritto che il sistema funziona se tra i contatti in agenda c'è quello dell'utente che sta utilizzando il computer... ora ce l'ho messo, ma non mi trova nulla... mi sento quasi sfigato ad essere l'unico che non possa avere i dati rubati in questo modo :(
Io ho memorizzati su Firefox numerosi user e pw, ma quella pagina non ha estratto nulla.

Non so perché, ma mi va bene :-)
Neanche a me funzia. Non trova nulla. :-(
Forse perché non andando su siti stranieri non vi è nulla associato a quegli id (però mi pare strano, di solito le pagine di forum ed altro sono praticamente uguali perché nessuno scrive del codice nuovo, ma riutilizza pezzi già esistenti).

@Lanf
A questo punto vorrebbe dire che il problema è nel motore di rendering (Chrome e Safari usano entrambi webkit).

@Hanmar
Se è successo a te e a tua moglie penso sia un problema "vostro". Controlla per bene l'attività di rete.
Ho Safari 5.0 su OSX 10.4.11 (eh sì, un caro vecchio Tiger) e l'autocompletamento per alcuni siti; ciò nonostante la pagina "demo" indicata non estrae nulla. Forse prima di generalizzare sarebbe bene fare qualche prova in più (o verificare meglio le fonti).
Sempre a proposito di siti in grado di ottenere molti dati sull'utente dai un'occhiata a questo post in cui mostro come sia facile profilare ogni utente e addirittura accedere alla cronologia della navigazione http://bit.ly/944SMX
ma ho provato ma l'unica cosa che mi ha trovato e solo il nome utente mail paese ecc niente....
Questa tecnica non ruba alcuna password. Ai fini del furto di identità, mi sembra molto più efficiente un'interrogazione delle Pagine Bianche. :)
@lufo88:

ho provato con uzbl che usa webkit: contrariamente a firefox lo script parte, ma non trova nulla (anche perche' sospetto che uzbl non implementi il salvataggio dei form, visto quanto e` minimale)
Ho provato con Firefox 3.6.7 e Chromium 5.0.375.99 (entrambi aggiornati dai repositary) su Fedora 13,
risultato : non funziona.

Nota divertente: vi ricordate War Games? Quando WOPR tenda di indovinare i codici di lancio? Sul mega schermo a 150 pollici, si vede che WOPR "starebbe" provando di indovinare il codice di lancio, tentando un Brute Force Attack, e ogni tanto indovina una qualche lettera.

Quando testo Chromium con il sito in questione, si vede una cosa simile: dentro un form (accanto al pulsante Start) si vedono scorrere tutte le lettere dell'alfabeto inglese.

Con l'eccezione delle 5 lettere che solo Chuck Norris conosce :)

Con Firefox, non si vede nulla di tutto ciò.


In compenso questo funziona !
Scusate una cosa, ma siamo sicuri che quel sito funzioni anche con gli altri browser o testa solo Safari?
A me con IE6 manco parte!
Per fortuna questa tecnica non consente di estrarre dati che iniziano con cifre, quindi non permette di rubare numeri di telefono o simili.

Beh, non credo che sia difficile aggiungere i numeri alla "ricerca A-Z".
I dati che trova non sono quelli della rubrica ma quelli di un DB interno ho fatto il test e fortunatamente il fatto di usare Safari come Feed Reader e poco altro (navigo nel sito Apple perchè ha la home impostata là). Firefox non ha test analoghi per testare a cosa si può arrivare e di Chrome non mi fido più di quanto mi fidi di Safari visto che sono cugini. Aspettiamo le pezze e stiamo attenti.

E proprio sull'attesa mi tocca osservare che Firefox non viene sistemato con la velocità di un tempo (entro max 36 ore ti fixavano un bug critico, stasera è arrivato un aggiornamento che migliora la stabilità del sistema e basta).

Il "problema" della classifica di Secunia. Apple è in testa, vediamo quanto ci resta, solo allora potremo bacchettarla, bug ne hanno tutti il problema è turarli in tempo utile e in maniera effettiva, il paragone con MS non calza molto perchè si rinfacciava a MS proprio la lentezza nell'intervenire su alcuni bug critici anche in considerazione della percentuale di installato di windows, oggi la cosa è migliorata per nostra fortuna, coi virus di oggi fare partigianerie non ha senso.

Ah la pagina come da link funziona SOLO con Safari, il codice è mirato al singolo browser (ognuno conserva quei dati in modo diverso)
Ho provato con Safari (che non uso mai), ha cercato tutto, ma... non ha trovato NIENTE di mio. Meno male. Sono così invisibile? Meglio così.
L'unico dato che è mi è stato carpito è MacBook Pro.
;-)
@lux
Anche tu non resisti eh?
;-)
Non riesco a smettere quando voglio, ma questo è davvero l'ultimo. :-)
Dopo l'aggiornamento di safari al 5.0.1, pare abbiano chiuso la falla...

Ciao
Fabry
Ahia... va be, ma che ci faranno mai con l'identità di un ragazzino di 14 anni come me... non so nemmeno maggiorenne!