Punto informatico Network

Canali
20080829213304

Come ti frego via browser

08/03/2005
- A cura di
Zane.
Sicurezza - Bastano poche righe di codice per rubare dati sensibili e numero di carta di credito da un qualsiasi browser web. Update: pronte (quasi) per tutti le versioni aggiornate.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

browser (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 272 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Update: Alcuni produttori hanno rilasciato le versioni aggiornate di propri navigatori, erpurate dal problema.

  • Opera Browser (problema risolto a partire dalla versione beta 2)
  • Mozilla Firefox (problema risolto a partire dalla versione 1.0.1)
  • Mozilla Suite (problema risolto a partire dalla versione 1.7.5)
  • Konqueror (problema risolto applicando questa e questa patch a KDE 3.2.3)
  • Safari (problema risolto applicando il Security Update 2005-001)

Internet Explorer e Netscape Navigator non sono ancora stati aggiornati.

Una pericolosa falla è stata rilevata in questi giorni per tutti i browser web in circolazione: Firefox, Opera, Internet Explorer, Mozilla, Konqueror, Safari, Netscape...nessuno è al sicuro.

Più che un vero e proprio difetto di programmazione si tratta di una mancanza a livello di progettazione, che potrebbe permettere ad un sito web malevolo di prendere il controllo di un popup aperto da un altro sito.

La situazione è da considerarsi estremamente pericolosa: sfruttando questa falla, ad esempio, un utente ostile potrebbe modificare un popup aperto da una banca, inserendo in questo una richiesta di numero di carta di credito, PIN, password di accesso per i servizi di e-Banking e via dicendo.

La debolezza è causata dal modo in cui i browser web aggiornano le informazioni contenute nei popup: nessun browser infatti controlla che il sito che richiede l'aggiornamento del popup sia lo stesso che l'ha originato.

Il test

Secunia mette a disposizione un test per verificare se il vostro sistema è vulnerabile:

1) Aprite la pagina del test

2) Cliccate su uno dei link per avviare il test: utilizzate Test Now - With Pop-up Blocker se avete installato un programma blocca-popup (attenzione, molti browser di ultima generazione hanno questa funzionalità integrata) oppure Test Now - Without Pop-up Blocker se i popup si aprono regolarmente durante la navigazione.

Verrà aperto il sito di una banca, CitiBank, in una nuova finestra. Da notare che fino a qui tutto è regolare: l'indirizzo è effettivamente quello della banca e le pagine sono autentiche.

Cliccate ora sull'immagine relativa alla protezione dalle e-mail fraudolente che trovate nella pagina. Ha questo aspetto:

Phishing_fraud-alert.gif

5) Visualizzerete un popup, generato dalla banca: se il vostro navigatore è immune, vedrete la regolare pagina della banca.

Phishing_no.gif

Ma in caso foste esposti al pericolo, vedrete una schermata di Secunia:

Phishing_si.gif

In questo caso la pagina è innocua, ma pensate se il gruppo di sicurezza avesse copiato il layout del sito CitiBank nel popup, chiedendovi di inserire password, numero di conto corrente, PIN e/o carta di credito, e spendendo questi dati al proprio server: senza neppure l'ausilio dell'URL ad aiutarvi, come accorgersi della truffa?

Nessun aggiornamento è stato ancora distribuito per alcun prodotto fra quelli coinvolti: per mettersi al sicuro dalla vulnerabilità, raccomandiamo di chiudere ogni altra finestra del navigatore prima inserire informazioni all'interno di un modulo, o, ancora meglio, di non navigare su siti fidati e non-fidati nello stesso momento.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.14 sec.
    •  | Utenti conn.: 127
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0