Allarme Clickjacking sul web

È stata recentemente messa in evidenza una nuova allarmante tecnica di exploit, in grado di coinvolgere tutti i principali browser in circolazione e di portare agli internauti notevoli disagi, molti dei quali si possono a tutt’oggi solamente immaginare. In parole povere, la tecnica del ‘Clickjacking’ permetterebbe ad un utente malintenzionato di prendere il controllo dei link presenti all’interno di una pagina Web e di reindirizzare i ‘click’ effettuati dai navigatori verso contenuti arbitrari. Al momento, l’unica difesa efficace consiste nell’utilizzare Firefox abbinato al plugin NoScript.

La problematica è venuta alla luce tramite i ricercatori americani Robert Hansen e Jeremiah Grossman, i quali hanno così illustrato tale vulnerabilità: «pensate ai pulsanti di un sito Web, i bonifici delle banche, i pulsanti di Digg, i banner pubblicitari, le queue di Netflix, eccetera. La lista è virtualmente illimitata e si tratta di esempi relativamente innocui. Poi considerate un attacco in grado di porsi in maniera invisibile tra questi pulsanti e il mouse degli utenti, facendo in modo che quando si preme un pulsante visibile, in realtà si stia premendo qualcos’altro che un utente malintenzionato desidera». Risulta così possibile far compiere agli utenti qualsiasi operazione a loro insaputa, come ad esempio cliccare su di un banner pubblicitario o iscriversi ad una mailing list. Ma lo scenario potrebbe essere molto più variegato: «mettiamo che un utente abbia un router wireless autenticato per poter andare su di un sito Web [legittimo]», ha dichiarato Grossman: «[il cracker] potrebbe porre sotto il mouse un tag che comanda al pulsante di mandare un ordine al router, ad esempio per cancellare tutte le regole che riguardano il firewall, avvantaggiando così notevolmente un possibile attacco».

Hansen e Grossman stanno attualmente lavorando a stretto contatto con Microsoft, Mozilla e Apple per trovare rapidamente una soluzione al problema; purtroppo, poiché si tratta di una debolezza insita nella progettazione di alcuni standard del World Wide Web, non è ancora chiaro quale tipologia di soluzione verrà adottata. Sicuramente non risulta sufficiente disabilitare l’esecuzione di codice JavaScript all’interno del browser, poiché l’attacco è possibile anche utilizzando il tag IFRAME. A tal proposito, Giorgio Maone, autore del plugin NoScript ha spiegato: «NoScript, nella sua configurazione di base, può respingere la maggior parte dei possibili scenari di attacco, ma per una protezione al 100%, è necessario controllare la voce “Forbid IFRAME“», la quale deve risultare abilitata.

Hansen e Grossman intendono svelare tutti i risultati delle loro ricerche non appena riceveranno conferma di una patch da parte di Abobe; la vulnerabilità coinvolgerebbe infatti anche uno dei prodotti realizzati dalla nota società.