Digital.it
Internet Explorer 9Microsoft, 9 patch per San Valentino
Google WalletGoogle Wallet, spunta una seconda vulnerabilità
Google WalletGoogle Wallet: il PIN è vulnerabile
iMessageiMessage viola la privacy, Apple risarcisce
QR code per la pagina originale
news_1185de1c0892c1e2.jpg

Clickjacking, tutti i browser sono vulnerabili

Tutti i browser sono vulnerabili al Clickjacking. Una vulnerabilità, descritta in Chrome, sarebbe verificata per tutti i browser, compresi Firefox ed IE. IE8 è teoricamente in salvo, ma in pratica nessun sito ha il codice necessario per la protezione

Una nuova vulnerabilità colpisce il mondo dei browser. E sembra essere una falla trasversale, concettualmente legata a JavaScript e pertanto in grado di coinvolgere tutti i browser in circolazione. Con due sole esclusioni teoriche: Opera 9.63 ed Internet Explorer 8.

La scoperta è attribuita alla ricercatrice SecNiche Aditya Sood in seguito alla segnalazione che ne ha legata la descrizione a Google Chrome 1.0.154.43. Secondo la Sood il browser analizzato sarebbe vulnerabile al cosiddetto Clickjacking, tecnica che sfrutta i click degli utenti per portare a compimento azioni involontarie con finalità precise. Tali azioni, peraltro, possono essere portate a compimento sfruttando i login dell’utente ed agendo quindi con maggior pericolosità. Pubblicato nell’occasione anche un proof of concept esplicativo nel quale un link apparentemente innocuo verso Yahoo si trasforma silentemente in un link potenzialmente nocivo.

Firefox sarebbe vulnerabile al pari di Chrome, mentre per quanto concernente il browser Microsoft v’è da attendersi una prossima patch che porti IE7 quantomeno al pari di IE8 nella tutela dell’utente contro tale tecnica. «Clickjacking significa che ogni interazione che l’utente ha con un sito web, ad esempio un click, può non essere quel che sembra»: questi i termini usati da Nishad Herath, consulente Novologica, per spiegare quanto pericoloso possa essere un attacco di questo tipo.

Heise Online sottolinea come il problema sia grave, ma anche come una pezza possa essere adottata fin da subito semplicemente disattivando l’uso di JavaScript da browser. Giorgio Maone, sviluppatore NoScript (una prima soluzione alle prime segnalazioni di minacce di tipo Clickjacking), non concorda però sulla bontà della soluzione IE8: nemmeno la protezione ideata per il nuovo browser sarebbe sufficiente, sebbene la soluzione non possa che risiedere in una informazione da aggiungere nell’header per evitare che iframe e layer truffaldini possano minare la normale attività di navigazione.

Che IE8 non possa influire sul problema specifico, in realtà, è cosa pressoché ovvia. La protezione, infatti, può essere attivata solo dallo sviluppatore della pagina secondo le indicazioni esplicate direttamente sull’IEblog in occasione della presentazione di IE8 RC1. Sebbene il browser sia dunque concettualmente pronto a definire una protezione ipotetica contro il clickjacking, il tutto rimarrebbe fermo ad una fase teorica almeno fintanto che il codice garante non diventa uno standard utilizzato sui siti web che intendono proteggere l’utente. Il che significa tempi lunghi ed improbabile raggiungimento dell’obiettivo. Il pallino del gioco, dunque, torna ai browser: la soluzione del problema non può essere lasciata agli sviluppatori, ma deve provenire dagli strumenti di navigazione.

Se vuoi aggiornamenti su Clickjacking, tutti i browser sono vulnerabili inserisci la tua e-mail nel box qui sotto:

  • http://www.lordmax.com lordmax

    Opera è decisamente più sicuro.

  • Phillo

    Appena provato. IE8 si comporta correttamente, FF3 no.

  • Matteo Massa

    Ho guardato il proof of concept: la vulnerabilità è attivata con un onMouseOver che viene chiamato al momento del click sul link (se infatti con firefox cliccate con ctrl, la pagina di yahoo si apre in una nuova scheda, quella dirottata sulla pagina iniziale).

    A mio parere il problema andrebbe considerato alla stregua dei popup: anni fa ad ogni click che facevamo, potevano aprirsi infinite finestre, quindi si è aggiunta una limitazione al codice javascript, che deve ricevere conferma dall’utente se vuole aprire nuove finestre col metodo window.open.

    Nel problema di oggi, basterebbe impedire ai javascript di cambiare pagina con eventi “strani”: mi sembra assurdo aprire un link semplicemente passandoci sopra con il mouse.

  • Paolo

    Appena provato, FF3 si comporta bene mentre IE8 no.

  • Paolo

    Appena provato, Firefox 3 si comprata bene, mentre Internet Explorer 8 no.

  • lafaiette

    tutti i browser saranno vulnerabili ma NO SCRIPT no !!!!!è il miglior plugin e chi non lo usa è solo un bimbominkia!!!!!

  • http://gollum1.wordpress.com Gollum1

    Ho notato che usando le tab (quindi click con il tasto centrale) su FF non funziona, mentre con il click normale sì. (FF sotto linux).

    mentre invece sembra non esserne affetto konqueror (con mia grande soddisfazione, anche se uso per la maggiore FF).

  • anonymous

    Al di là dell’efficacia del Clickjacking apprezzo sempre di più la Modalità protetta DEP di IE7-8/Vista che vanifica certi sporchi trucchi offrendo cmq protezione in caso di esecuzione di qualsiasi malware…
    Sarebbe ora che anche FFox e gli altri implementassero una soluzione simile.

  • Fiber

    Con Firefox 3.0.6 rilasciato ieri e’ stata corretta la vulnerabilita’ Clickjacking

    difatti il proof of Concept non funziona piu’ con FF 3.0.6 e si viene redirectatai al sito Yahoo come deve essere …e non al sito xssed

    Redazione di WebNews scrivete un articolo a rettifica

  • http://gollum1.wordpress.com Gollum1

    Iceweasel/3.0.5 (Debian-3.0.5-1) ora risulta immune (per chi non lo sapesse Iceweasel è firefox in debian).

    Byez

    Gollum1