Digital.it
Google WalletGoogle Wallet: il PIN è vulnerabile
iMessageiMessage viola la privacy, Apple risarcisce
Occhio spiaQuando la webcam ti spia
BingMicrosoft punge ancora una volta Google
QR code per la pagina originale
news_cc2197a6365a2e15.png

Allarme Clickjacking sul web

Una nuova minaccia incombe sul Web sotto il nome di Clickjacking e sembra non risparmiare nessuno dei principali browser il circolazione, dirottando i 'click' dei navigatori verso contenuti arbitrari. Le patch sono in fase di progettazione

È stata recentemente messa in evidenza una nuova allarmante tecnica di exploit, in grado di coinvolgere tutti i principali browser in circolazione e di portare agli internauti notevoli disagi, molti dei quali si possono a tutt’oggi solamente immaginare. In parole povere, la tecnica del ‘Clickjacking’ permetterebbe ad un utente malintenzionato di prendere il controllo dei link presenti all’interno di una pagina Web e di reindirizzare i ‘click’ effettuati dai navigatori verso contenuti arbitrari. Al momento, l’unica difesa efficace consiste nell’utilizzare Firefox abbinato al plugin NoScript.

La problematica è venuta alla luce tramite i ricercatori americani Robert Hansen e Jeremiah Grossman, i quali hanno così illustrato tale vulnerabilità: «pensate ai pulsanti di un sito Web, i bonifici delle banche, i pulsanti di Digg, i banner pubblicitari, le queue di Netflix, eccetera. La lista è virtualmente illimitata e si tratta di esempi relativamente innocui. Poi considerate un attacco in grado di porsi in maniera invisibile tra questi pulsanti e il mouse degli utenti, facendo in modo che quando si preme un pulsante visibile, in realtà si stia premendo qualcos’altro che un utente malintenzionato desidera». Risulta così possibile far compiere agli utenti qualsiasi operazione a loro insaputa, come ad esempio cliccare su di un banner pubblicitario o iscriversi ad una mailing list. Ma lo scenario potrebbe essere molto più variegato: «mettiamo che un utente abbia un router wireless autenticato per poter andare su di un sito Web [legittimo]», ha dichiarato Grossman: «[il cracker] potrebbe porre sotto il mouse un tag che comanda al pulsante di mandare un ordine al router, ad esempio per cancellare tutte le regole che riguardano il firewall, avvantaggiando così notevolmente un possibile attacco».

Hansen e Grossman stanno attualmente lavorando a stretto contatto con Microsoft, Mozilla e Apple per trovare rapidamente una soluzione al problema; purtroppo, poiché si tratta di una debolezza insita nella progettazione di alcuni standard del World Wide Web, non è ancora chiaro quale tipologia di soluzione verrà adottata. Sicuramente non risulta sufficiente disabilitare l’esecuzione di codice JavaScript all’interno del browser, poiché l’attacco è possibile anche utilizzando il tag IFRAME. A tal proposito, Giorgio Maone, autore del plugin NoScript ha spiegato: «NoScript, nella sua configurazione di base, può respingere la maggior parte dei possibili scenari di attacco, ma per una protezione al 100%, è necessario controllare la voce “Forbid IFRAME“», la quale deve risultare abilitata.

Hansen e Grossman intendono svelare tutti i risultati delle loro ricerche non appena riceveranno conferma di una patch da parte di Abobe; la vulnerabilità coinvolgerebbe infatti anche uno dei prodotti realizzati dalla nota società.

Se vuoi aggiornamenti su Allarme Clickjacking sul web inserisci la tua e-mail nel box qui sotto:

  • http://WebNews Giorgio

    Ecco quì una altra notizia che fà riflettere ; non è che per caso la maggior parte degli haker lavori in segreto per le tanto odiate marjor ? E sì perchè alla fine della catena quelli che ne fanno le spese sono solo e sempre i poveri utenti i quali non solo sono costretti per tanti motivi a pagarsi le cose che usano , tranne che a riuscire a procurarsele gratis che però devo dire non è mai la stessa cosa , in più dovranno comprarsi anche i vari rimedi che le stesse Marjor , presunti obiettivi degli attacchi informatici , venderanno ai propri clienti , il tutto non farà altro che incasinare sempre più le cose inutilmente . La soluzione non è passere tutti a Linux o ad un Mac e questo per un mare di motivi , hanno i loro contro anch’essi tra l’altro ; la soluzione non ce l’ho , sò solo che il tutto è veramente una rottura di scatole !