Con buona probabilità, la scoperta di una vulnerabilità legata al clickjacking che interessa Google Chrome e Mozilla Firefox è figlia delle numerose discussioni ben presto nate sulla scia del lancio di Internet Explorer 8 Release Candidate 1.

Non a caso, la nuova versione del browser Web che verrà (e che sarà parte della dotazione standard di Windows 7, quello che a Redmond si spera possa essere il sistema operativo del rilancio dopo la controversa parabola di Vista) presenta una funzione – basata su tecnologia proprietaria e che implica la collaborazione dei Web designer che vogliano implementarla sulle proprie creazioni – per evitare che i pulsanti e i link contenuti nelle pagine Web possano diventare armi a doppio taglio. Appunto, potenziali vettori di attacchi basati su clickjacking.

Funziona? Non funziona? Nel dubbio, vediamo se funziona anche altrove. Questo deve essere stato il pensiero di Aditya K. Sood, ricercatore indiano di SecNiche, che alla fine ha dimostrato come anche Chrome presti il fianco al furto dei click – questo, letteralmente, è il significato di clickjacking. Da quel di Mountain View, i tecnici hanno riconosciuto il problema e stanno già lavorando su una patch: le versioni interessate sono la 1.0.154.43 e precedenti, vale a dire tutte quelle rilasciate da Big G a partire da settembre.

“Gli attaccanti possono indurre gli utenti – spiega Sood – a compiere azioni che questi ultimi non vorrebbero mai fare, e non c’è modo di rintracciarle in seguito, una volta che la vittima si autentica su altre pagine Web”. Traduzione spiccia? Rischio di clickjacking, come volevasi dimostrare. Ma il discorso pare non riguardi solamente Chrome: la proof of concept realizzata da Sood funziona anche sull’ultima versione di Firefox 3.0.5. Che però può essere dotata dell’add-on NoScript per aggirare il rischio.

Mal comune, mezzo gaudio, verrebbe da dire. Ma, a ben pensare, il clickjacking non è altro che un caso particolare di attacco basato sul cross-site scripting, che punta a inviare una richiesta Http dal browser Web della vittima a un obiettivo specifico, ad esempio un server contenente codice in grado di attivare download di tipo drive-by. Quindi, tanto chi scrive il codice per i browser quanto chi realizza pagine Web di professione dovrebbe avere il background necessario per farvi fronte. In un click. Possibilmente, senza trucco né inganno.

da: mytech.it

Tags: chrome, Firefox, Sicurezza

Trackback URI | Comments RSS