Safari e IE non difendono le password?
Scritto da Alex il 23/07/2010 22:56:55
A sostenerlo è un ricercatore, che afferma di aver individuato una
falla nel sistema di autocompletamento dei campi del browser Apple e di
quello Microsoft. Problemi anche per Firefox e Chrome
News Estesa
La funzione di autocompletamento delle form di Safari e Internet
Explorer potrebbe esporre gli utenti a gravi rischi per la sicurezza. A rivelarlo è stato il ricercatore Jeremiah Grossman, CTO di WhiteHat Security,
secondo il quale l'autocompletanto può essere sfruttato da
malintenzionati per ottenere dati personali come password, numeri di
carta di credito e indirizzi email.
Grossman ha detto che
rilascerà un attacco proof-of-concept in occasione dell'imminente
conferenza Black Hat di Las Vegas, in programma la prossima settimana:
questo attacco dovrebbe dimostrare come sia possibile costruire una
pagina web che, senza alcuna interazione da parte dell'utente, sia in
grado di sottrarre i dati relativi all'autocompletamento delle form. In
pratica si tratta di un JavaScript che inserisce automaticamente
lettere e numeri all'interno di un campo di testo e attende che il
browser li autocompleti: ad esempio, inserendo la lettera "p"
all'interno del campo "email", un sito web maligno potrebbe ottenere in
risposta un indirizzo di posta elettronica che inizi per quella lettera.
Il
ricercatore USA afferma che il suo attuale exploit funziona con le
versioni 4 e 5 di Safari e con le versioni 6 e 7 di IE. Firefox e
Chrome non sono vulnerabili a questo particolare attacco, ma Grossman
afferma che soffrono di una debolezza cross-site scripting che può
consentire ad un aggressore di ottenere user name e password salvate
dal browser.
Il dirigente di WhiteHat Security afferma di aver avvisato Apple del
problema oltre un mese fa, ma di non aver ancora ricevuto alcuna
risposta.
Alessandro Del Rosso