Pericolo clickjacking per Facebook - INFORMATICA NUSCANA - Informatica Nuscana di Gianfranco Bruno

Contattaci su Twitter
Contattaci con Whatsapp
Informatica Nuscana di Gianfranco Bruno
ASSISTENZA E VENDITA PRODOTTI INFORMATICI
IN ITALIA E IN TUTTA EUROPA
Informatica Nuscana Home Page
Contattaci su Facebook
Contattaci per Email
Contattaci su Linkedin
Visita il nostro sito Inglese
Contattaci su Skype
Contattaci per PEC
Tel.: 0827/64159
Fax: 0827/1713001

Mappa Interattiva
Mappa Interattiva
Carrello Elettronico
Il Nostro Negozio Online
Carrello elettronico
Vai ai contenuti

Pericolo clickjacking per Facebook

Informatica Nuscana di Gianfranco Bruno
Pubblicato da in SICUREZZA ·


Davvero preoccupante la vulnerabilità appena scoperta che riguarda tutti i browser web. Battezzata "clickjacking" ("scippo dei click").



Scoperta qualche mese fada due ricercatori americani, Robert Hansen e Jeremiah Grossman, questa vulnerabilità è stata portata alla ribalta della cronaca solo pochi giorni fa da un giornalista di ZDNet, Ryan Naraine. Eccovi l’articolo originale : Clickjacking: Researchers raise alert for scary new cross-browser exploit: (http://blogs.zdnet.com/security/?p=1972

Il clickjacking è una tecnica che "cattura" (con l’inganno) il click del vosto mouse e lo rindirizza su un oggetto diverso da quello che l’utente intendeva cliccare. Esempio banale: l’utente fa click su un link per accedere ad una pagina web e questo suo click viene rediretto, a sua insaputa, su un pulsante che attiva un’azione completamente diversa.L’utente è così costretto a fare quasi qualunque cosa all’interno di una pagina web. Intuirete la pericolistà della falla scoperta!

Per implementare il meccanismo fraudolento si può sfruttare il Javascript oppure usando un "inner frame"(IFRAME) nascosto.
La tecnica basata su Javascript è davvero molto semplice. Il click dell’utente su qualsiasi un elemento di una pagina HTML non mette a segno nessuna azione in sé, ma genera soltanto un evento particolare che, a sua volta, viene catturato e gestito da una apposita funzione Javascript (in questo caso "onclick()")scritta e gestita dal programmatore. Pertanto non è difficile far risultare che il click del mouse provenisse da un elemento diverso da quello clickato dall’utente. Questa tecnica è esplicitamente prevista dagli standard HTML e JavaScript e viene spesso utilizzata dai programmatori ma logicamente a fini legittimi.
Ben più preoccupazioni crea la seconda tecnica,quella basata sul tag IFRAME.

Si nasconde un inner frame ("cornice interna") all’interno della pagina web cosicchè tutti i click effettuati "colpiscono" gli elementi di questo inner frame.
Non sono stati rivelati precisamente i dettagli di tale tecnica perché Adobe (che produce "Flash" e "Reader") ha chiesto il massimo silenzio al riguardo per eliminare una vulnerabilità, collegata a questa, che riguarda uno dei suoi prodotti.
Tutti i browser attualmente in uso sono affetti da tale falla e solo i browser molto, molto vecchi (Internet Explorer fino alla Release 4.0 esclusa, Netscape Navigator fino alla Release 4.0 esclusa etc.) ne sono immuni non supportando le funzionalità di base per sfruttare questa vulnerabilità.

E bene precisare che non si rischia di vedere il conto corrente ripulito oppure veder ordinati prodotti da siti ecommerce a nostra insaputa, ma i nostri click potrebbero essere usati per iscriverci a nostra insaputa alle newsletter (violando l’attuale legge sulla privacy) oppure possono essere utilizzati per far guadagnare abusivamente (al gestore del sito) un po’ di soldi dai banner pubblicitari (AdSense e simili).

Per risolvere il problema (essendo il baco immerso nella progettazione stessa del Web) non c’è una soluzione definitiva. Occorrerà ridefinire il modo in cui vengono gestiti i click e le azioni dell’utente da parte dei browser,ma questo, inutile dirlo, richiederà molto,molto tempo.

FONTE: POWERBLOG.IT




Nessun commento

Informatica Nuscana
© 2008-2019
Tutti i diritti sono riservati
Codice Univoco Fatturazione Elettronica: KRRH6B9

via Largo S. Donato n. 5
83051 Nusco (AV)
Tel.: 0827-64159
P. Iva: 02570110649
Rea CCIAA: AV-171551
Mappa Interattiva
Contattaci per Email
Torna ai contenuti