QR code per la pagina originale

Phishing che sembra legittimo per Firefox

Un problema nella gestione delle virgolette singole è stato scoperto può scatenare degli attacchi di phishing quasi perfetti che sfuggono ai normali controlli sui siti fidati. A trovare il problema è stato un blogger

,

Anche l’open source non è immune dalle vulnerabilità informatiche. In particolar modo Firefox, il browser a codice sorgente aperto, che nella sua ultima versione è stato trovato scoperto di fronte ad alcune possibilità di phishing.

A scoprire la falla è stato un blogger, Raff Aviv, che ha illustrato passo passo e con un video dove si trovi il problema e come possa essere sfruttato malevolmente per impadronirsi dei dati degli utenti a loro insaputa e senza far scattare i normali allarmi anti-phishing.

In poche parole Aviv ha scoperto che Firefox gestisce male le virgolette singole inserite nell’header della pagina, sfruttando l’errore di programmazione si può dunque simulare che una procedura di autenticazione venga da un sito fidato quando invece non è così. Gli attacchi possibili addirittura sono due: un sito malevolo potrebbe includere un link corretto ad un sito fidato (diciamo quello di Poste Italiane) che una volta cliccato visualizzi una schermata di autenticazione dove inserire nome utente e password. Tuttavia il link fa anche aprire nel background un’altra finestra contenente uno script che redirige i dati immessi da qualsiasi altra parte. Allo stesso modo si può generare un’immagine malevola che spedita via mail, immessa su un sito o linkata via MySpace, una volta che ci si clicchi sopra generi la finestra di log-in apparentemente legittima di cui sopra.



Per il momento non essendoci ancora una patch (l’ultima di Firefox risale al 27 Novembre), l’unico suggerimento anche dello stesso Aviv è di evitare qualsiasi sito contenga una finestra di autenticazione.

Quello delle falle è tuttavia solo uno dei problemi (anche se forse il più pressante) che Mozilla deve affrontare tutti i giorni, un problema che se l’azienda dovesse quotarsi in borsa come si mormora potrebbe solo peggiorare. Molti analisti infatti sostengono che sarebbe un grave errore per l’azienda diventare una società per azioni pubblica, poichè al momento la sua forza è nella sua indipendenza, anche se le fonti di reddito sono quelle che sono (un solo cliente, Google, che offre alla Mozilla Foundation un tot per ogni ricerca che viene fatta dalla finestra in alto a destra del browser).

Dunque, nonostante il fatto che Mozilla potrebbe godere di una valutazione tra gli 1,5 e i 4 miliardi di dollari, diventare pubblica la esporrebbe unicamente a più controlli e alla possibilità di essere totalmente acquisita da Google.