Allerta clickjacking per Facebook

Facebook può trasformarsi in un valido alleato degli utenti malintenzionati. Stando ai risultati di una recente ricerca, il celebre social network sarebbe affetto da alcuni malfunzionamenti tali da consentire fenomeni di clickjacking. Sfruttando tali condizioni, un utente malintenzionato potrebbe dunque dirottare gli utenti verso siti web appositamente modificati per compiere azioni non autorizzate sui loro account. Inoltre, le nuove regole sulla privacy consentono alle applicazioni di terze parti di accedere alle informazioni riservate senza un esplicito consenso da parte degli utenti.

Durante la sottoscrizione di una nuova applicazione, agli utenti di Facebook veniva solitamente fornita una finestra pop-up contenente una serie di opzioni e indicazioni per impostare l’utilizzo dei dati caricati sul proprio profilo. Gli iscritti al social network avevano così la possibilità di comprendere le potenziali conseguenze per la loro privacy e potevano dunque decidere se procedere con l’adozione dell’applicazione o rinunciare. In seguito all’introduzione delle nuove regole sulla riservatezza, l’adozione di tale finestra informativa è divenuta opzionale per i produttori di applicazioni di terze parti. Secondo l’esperto di sicurezza Nitesh Dhanjani, tale condizione semplificherebbe l’accesso alle informazioni riservate da parte delle applicazioni di terze parti, rendendo meno efficace la protezione dei dati personali degli utenti.

Una ipotesi respinta dai responsabili di Facebook, da tempo nel minirino delle associazioni per la tutela della privacy degli iscritti al celebre social network. «Le uniche informazioni cui possono accedere le applicazioni senza mostrare prima l’opzione “Allow” sono i dati pubblicamente disponibili (l’insieme limitato di informazioni comprendente nome, immagine del profilo, genere, reti, liste di amici e pagine) e i dati impostati per essere visibili a tutti sulla Rete» ha dichiarato un portavoce di Facebook, Simon Axten, rispondendo alle critiche sollevate da Dhanjani.

Oltre ai presunti problemi legati alla privacy e alle applicazioni, secondo l’esperto di sicurezza un utente malintenzionato potrebbe utilizzare un sito web appositamente modificato per ottenere un parziale controllo degli account di Facebook. Uno spazio in Rete all’apparenza innocuo potrebbe contenere alcune stringhe di codice, invisibili all’utente, per effettuare una serie di azioni sul celebre social network. Un clic su un semplice link contenuto nella pagina da parte del visitatore potrebbe così esporre il profilo Facebook dell’utente a una serie di pericolose attività.

«Utilizzando il clickjacking potrei ingannare gli utenti e far compiere loro le azioni che desidero: farmi aggiungere come loro amico, eliminare il loro account, attivare microfono e webcam tramite Flash (funziona con le versioni antecedenti alla 10.x), o installare le applicazioni di Facebook che consentono di inviare quanto registrato dalla webcam e dal microfono quando ci si connette a Facebook» scrive Shlomi Narkolayev, che ha partecipato alla ricerca di Dhanjani, sul proprio blog.

Come sottolineato dagli stessi responsabili del social network, i pericoli da poco messi in evidenza sono in realtà comuni a numerosi siti web. I responsabili della sicurezza di Facebook hanno confermato di essere al lavoro per la realizzazione di alcune nuove barriere utili per limitare queste tipi di attacchi. Un maggiore livello di consapevolezza sui possibili rischi da parte degli utenti che ogni giorno affollano il social network potrebbe inoltre contribuire sensibilmente alla riduzione dei casi di clickjacking e di violazione della privacy.