Gravi bug mettono a rischio i dati di login

La prossima edizione della conferenza sulla sicurezza informatica Black Hat, che si terrà il 28 e il 29 Luglio a Las Vegas si preannuncia molto calda: dopo gli attacchi di DNS rebinding cui sono vulnerabili migliaia di router del mondo, spunta ora un nuovo argomento importante che verrà presentato alla conferenza. A farlo sarà Jeremiah Grossman di White Hat, società operante nel settore della sicurezza, e il suo dito sarà puntato verso diversi browser web.

Grossman avrebbe infatti scoperto una serie di vulnerabilità nei più noti browser, da Safari a Internet Explorer, passando per Firefox e Chrome, che metterebbe seriamente a rischio la sicurezza di molti utenti. Le password salvate dall’applicazione per la navigazione sarebbero infatti facilmente reperibile da eventuali malintenzionati, tramite un semplice script JavaScript o un attacco di cross-site scripting.

Il primo bug citato da Grossman riguarda Safari, nelle sue versioni 4 e 5, ed Internet Explorer, in particolare le edizioni 6 e 7. Per innescare la scintilla basterebbe il caricamento di una pagina web contenente del codice JavaScript in grado di sfruttare le funzionalità di completamento automatico dei dati di login salvati dall’utente: tale codice, infatti, prova a digitare una dopo l’altra una serie di combinazioni composte anche da una o due lettere, ed una volta trovata una presente in un login salvato è in grado di far completare automaticamente al browser il resto dei dati.

Secondo Grossman sarebbero circa 83 milioni gli utenti potenzialmente a rischio, in quanto gli sviluppatori di Safari hanno deciso di attivare di default la funzionalità di completamento automatico dei dati salvati. Una prima demo a scopo illustrativo dello script in questione è disponibile online, e dimostra come in effetti le parole del CTO di White Hat rappresentino un’importante verità. Il problema, sempre secondo Grossman, sarebbe all’interno del motore di rendering WebKit, utilizzato dal browser Apple, e potrebbe dunque coinvolgere anche vecchie versioni di Google Chrome.

Proprio quest’ultimo, insieme a Mozilla Firefox, sarebbe invece vulnerabile ad un altro tipo di attacco: tramite l’utilizzo di una tecnica basata sul cross-site scripting i due browser mostrerebbero a chi ha sferrato l’attacco i dati di accesso utilizzati per loggarsi ad un qualunque sito, come ad esempio Google o Facebook, proprio mentre l’utente effettua il login. Nessun browser esce dunque illeso dalle ricerche di Grossman.

L’esperto di sicurezza ha deciso di annunciare al pubblico le vulnerabilità in questione durante la conferenza Black Hat a causa dello scarso interesse mostrato dagli sviluppatori nei confronti del problema. Grossman avrebbe infatti provato a «contattare tutti i team di sviluppo, senza mai ricevere alcuna risposta». Se così non fosse stato, dice, non sarebbe mai «arrivato a discuterne di fronte ad un così vasto pubblico».