Aranzulla: come ti inganno il browser

Il giovanissimo bug hunter italiano ha scoperto una nuova vulnerabilità presente in alcuni browser, tra cui Firefox e Internet Explorer, che potrebbe essere utilizzata per attacchi di phishing
Il giovanissimo bug hunter italiano ha scoperto una nuova vulnerabilità presente in alcuni browser, tra cui Firefox e Internet Explorer, che potrebbe essere utilizzata per attacchi di phishing


Roma – Il giovane hacker italiano Salvatore Aranzulla ha segnalato l’esistenza di una vulnerabilità di sicurezza in diversi browser, tra cui Firefox e Internet Explorer, che potrebbe essere sfruttata per attacchi di phishing .

In questo advisory Aranzulla ha spiegato che la debolezza da lui scoperta può essere sfruttata per mascherare, nella barra di stato (o status bar) del browser, il vero indirizzo a cui punta un link.

“Il funzionamento della vulnerabilità da me scoperta con l’aiuto di th3Br41n, che mi ha rifinito l’exploit, è molto semplice”, ha detto scritto Aranzulla sul proprio sito. “Viene creato un collegamento e, quando si clicca, viene immediatamente cambiato l’indirizzo fidato con uno non fidato, per poi reimpostarlo alla fine con quello fidato. In tal modo, seppur venga mostrato l’indirizzo fidato nella status bar, si viene portati in un sito non fidato”.

Come sempre, un esempio pratico vale più di mille parole: qui gli utenti dei browser vulnerabili noteranno che passando la freccetta del mouse sul link Sei sicuro che l’indirizzo sia quello di Microsoft? l’URL mostrata nella status bar è http://www.microsoft.com/ : in realtà se si clicca sul link si finisce su ben altro sito. In redazione si è scoperto che il trucco può talvolta essere smascherato selezionando il testo linkato e deselezionandolo subito dopo: questa operazione, in certe circostanze, fa sì che la barra di stato torni a visualizzare l’URL corretto.

“Tengo a precisare – ha detto Aranzulla a Punto Informatico – che la falla non utilizza window.status ed è funzionante sia in Internet Explorer che Mozilla sfruttando l’evento onclick di Javascript”. Il programmatore ha tuttavia ammesso che “non è la prima volta che vengono scoperte vulnerabilità di questo tipo”.

Aranzulla non ha fornito un elenco dei browser vulnerabili.

Va detto che il problema, da solo, rappresenta una minaccia molto modesta per la sicurezza degli utenti: utilizzato in congiunzione con altre debolezze potrebbe tuttavia andare a vantaggio di chi progetta truffe online.

Link copiato negli appunti

Ti potrebbe interessare

06 07 2005
Link copiato negli appunti