Cerca nel blog

2010/07/23

Safari, IE, Firefox si fanno rubare dati e password

I principali browser si fanno rubare dati e password semplicemente visitando un sito. Provare per credere


Questo articolo vi arriva grazie alle gentili donazioni di "antonella.ch*" e "motogio" ed è stato aggiornato dopo la pubblicazione iniziale.

Usate Safari, il browser di Apple, su Mac o Windows? Allora provate a visitare la pagina Web ha.ckers.org/weird/safari_autofill.html. con Safari versione 4 o la 5, la più recente. Cliccate sul pulsante Start che trovate nella pagina e state a guardare. In pochi secondi compariranno il vostro nome e cognome, il nome della vostra organizzazione, la città e lo stato in cui abitate e il vostro indirizzo di e-mail. Tutto senza che abbiate digitato nulla.

Tranquilli, quella pagina è una demo innocua, ma in una versione ostile della pagina i vostri dati personali possono essere trasmessi al gestore del sito senza che voi facciate nulla e senza che venga visualizzato il procedimento. In altre parole, con Safari è possibile rubare l'identità a un visitatore senza che se ne accorga. Addio anonimato. Immaginate di mettere una trappola del genere su un sito dal contenuto discutibile e di carpire così le identità dei visitatori. Le possibilità di spamming e di ricatto sono facili da intuire.

La segnalazione di questo baco imbarazzante è opera di Jeremiah Grossman, della WhiteHat Security. Grossman ha pubblicato un articolo nel quale spiega che il problema sta in una funzione molto conosciuta e pratica di Safari, il riempimento automatico (AutoFill): quello che capisce automaticamente quali informazioni immettere quando visitate una pagina Web contenente dei campi da compilare. Questa funzione è attivata per default (ossia salvo intervento dell'utente).

Il riempimento automatico è presente anche in altri browser, ma in Safari è realizzato in una maniera particolare: se l'HTML del modulo nella pagina Web visitata ha campi chiamati name, company, city, state, country o email, Safari li compila automaticamente attingendo ai dati personali dell'utente memorizzati nella rubrica degli indirizzi del sistema operativo (secondo TUAW, anche Safari per Windows è vulnerabile, ma in misura leggermente minore). E a differenza degli altri browser, lo fa anche se questi dati non sono mai stati immessi nel sito visitato o in un altro sito.

"Tutto quello che deve fare un sito ostile per estrarre di nascosto da Safari i dati della scheda della Rubrica è creare dinamicamente dei campi di testo in un modulo con i nomi citati sopra, probabilmente in modo invisibile, e poi simulare delle digitazioni dalla A alla Z usando Javascript" spiega Grossman. Per fortuna questa tecnica non consente di estrarre dati che iniziano con cifre, quindi non permette di rubare numeri di telefono o simili. Grossman ha avvisato Apple il 17 giugno scorso, ma la falla non è ancora stata rattoppata. In attesa che venga sistemata, gli utenti di Safari faranno bene a disabilitare il riempimento automatico andando nelle preferenze di Safari, cliccando sull'icona omonima e disattivando l'opzione Utilizza informazioni dalla mia scheda Rubrica Indirizzi.

Se usate altri browser, comunque, Grossman ha in serbo sorprese anche per voi. Tra pochi giorni presenterà ai partecipanti alla conferenza Black Hat a Las Vegas le dimostrazioni di come sfruttare meccanismi fallati analoghi presenti in Internet Explorer 6 e 7 (ma non in IE 8) e in Firefox e rubare anche le password degli utenti. Conviene quindi disattivare il riempimento automatico e cancellare i propri dati personali dalla rubrica, o sostituirli con dati fittizi, se non volete esporvi a questa vulnerabilità.

Come ciliegina sulla torta, Grossman mostrerà come cancellare di nascosto tutti i cookie di un utente che visita un sito, con tutti i disagi o danni che ne possono conseguire. Nei browser c'è un limite al numero di cookie che possono memorizzare, e quando viene superato questo limite i cookie più vecchi vengono eliminati per far posto a quelli nuovi. La tecnica descritta da Grossman non fa altro che indurre la vittima a visitare un sito che imposta silenziosamente un numero molto grande di altri cookie, che rimpiazzano quelli preesistenti. Bastano meno di tre secondi.

Nessun commento: