QR code per la pagina originale

Clickjacking, tutti i browser sono vulnerabili

Tutti i browser sono vulnerabili al Clickjacking. Una vulnerabilità, descritta in Chrome, sarebbe verificata per tutti i browser, compresi Firefox ed IE. IE8 è teoricamente in salvo, ma in pratica nessun sito ha il codice necessario per la protezione

,

Una nuova vulnerabilità colpisce il mondo dei browser. E sembra essere una falla trasversale, concettualmente legata a JavaScript e pertanto in grado di coinvolgere tutti i browser in circolazione. Con due sole esclusioni teoriche: Opera 9.63 ed Internet Explorer 8.

La scoperta è attribuita alla ricercatrice SecNiche Aditya Sood in seguito alla segnalazione che ne ha legata la descrizione a Google Chrome 1.0.154.43. Secondo la Sood il browser analizzato sarebbe vulnerabile al cosiddetto Clickjacking, tecnica che sfrutta i click degli utenti per portare a compimento azioni involontarie con finalità precise. Tali azioni, peraltro, possono essere portate a compimento sfruttando i login dell’utente ed agendo quindi con maggior pericolosità. Pubblicato nell’occasione anche un proof of concept esplicativo nel quale un link apparentemente innocuo verso Yahoo si trasforma silentemente in un link potenzialmente nocivo.

Firefox sarebbe vulnerabile al pari di Chrome, mentre per quanto concernente il browser Microsoft v’è da attendersi una prossima patch che porti IE7 quantomeno al pari di IE8 nella tutela dell’utente contro tale tecnica. «Clickjacking significa che ogni interazione che l’utente ha con un sito web, ad esempio un click, può non essere quel che sembra»: questi i termini usati da Nishad Herath, consulente Novologica, per spiegare quanto pericoloso possa essere un attacco di questo tipo.

Heise Online sottolinea come il problema sia grave, ma anche come una pezza possa essere adottata fin da subito semplicemente disattivando l’uso di JavaScript da browser. Giorgio Maone, sviluppatore NoScript (una prima soluzione alle prime segnalazioni di minacce di tipo Clickjacking), non concorda però sulla bontà della soluzione IE8: nemmeno la protezione ideata per il nuovo browser sarebbe sufficiente, sebbene la soluzione non possa che risiedere in una informazione da aggiungere nell’header per evitare che iframe e layer truffaldini possano minare la normale attività di navigazione.

Che IE8 non possa influire sul problema specifico, in realtà, è cosa pressoché ovvia. La protezione, infatti, può essere attivata solo dallo sviluppatore della pagina secondo le indicazioni esplicate direttamente sull’IEblog in occasione della presentazione di IE8 RC1. Sebbene il browser sia dunque concettualmente pronto a definire una protezione ipotetica contro il clickjacking, il tutto rimarrebbe fermo ad una fase teorica almeno fintanto che il codice garante non diventa uno standard utilizzato sui siti web che intendono proteggere l’utente. Il che significa tempi lunghi ed improbabile raggiungimento dell’obiettivo. Il pallino del gioco, dunque, torna ai browser: la soluzione del problema non può essere lasciata agli sviluppatori, ma deve provenire dagli strumenti di navigazione.

Notizie su: