Cookiejacking, la nuova falla di Internet Explorer

Rosario Valotta, ricercatore italiano di sicurezza web, ha scoperto una falla nella gestione dei cookie di Microsoft Internet Explorer tale da permettere ad eventuali cracker di rubare i cookie di sessione attraverso un attacco di tipo clickjacking (trucco con il quale gli utenti vengono incoraggiati a cliccare su elementi di una pagina web che nascondono link dannosi). Il tranello è stato battezzato dallo stesso Valotta come “cookiejacking“. Tuttavia, per avere buon esito, l’attacco deve funzionare con l’ignara collaborazione della vittima, la quale consegna involontariamente il contenuto dei suoi cookie nelle mani dell’attaccante. Per non dare nell’occhio, il processo viene sapientemente nascosto dall’hacker tramite ingannevoli tecniche di clickjacking, dalle quali su IE non ci sarebbe ancora alcuna protezione.

Alla conferenza Hack in the Box 2011 tenutasi ad Amsterdam in questi giorni, Valotta ha dichiarato che l’hacking funziona con tutte le versioni di Internet Explorer, su tutti i sistemi operativi Microsoft e può essere applicato a qualsiasi sito web. Per questo motivo il numero di utenti colpiti è potenzialmente enorme. Durante il convegno l’esperto italiano ha voluto dimostrare il funzionamento del cookiejacking utilizzando come cavia proprio Facebook, il più popolare dei social network e ritenuto, quindi, un sito teoricamente molto sicuro. Il ricercatore ha nascosto il cookiejacking dietro un semplice minigioco che in meno di tre giorni gli ha permesso di rubare oltre 80 cookie.

Dall’altra parte della barricata arriva puntuale la replica di Microsoft. Il responsabile della sicurezza, Jerry Bryant, ha fatto sapere che non si tratterebbe di un problema di alto rischio in quanto l’utente per essere colpito deve visitare un sito web dannoso ed essere convinto a cliccare e trascinare elementi. Tuttavia la società di casa Redmond ha dichiarato che cercherà di risolvere l’inconveniente entro l’estate.