Safari e IE non difendono le password?

A sostenerlo è un ricercatore, che afferma di aver individuato una falla nel sistema di autocompletamento dei campi del browser Apple e di quello Microsoft. Problemi anche per Firefox e Chrome

Roma – La funzione di autocompletamento delle form di Safari e Internet Explorer potrebbe esporre gli utenti a gravi rischi per la sicurezza. A rivelarlo è stato il ricercatore Jeremiah Grossman , CTO di WhiteHat Security , secondo il quale l’autocompletanto può essere sfruttato da malintenzionati per ottenere dati personali come password, numeri di carta di credito e indirizzi email.

Grossman ha detto che rilascerà un attacco proof-of-concept in occasione dell’imminente conferenza Black Hat di Las Vegas, in programma la prossima settimana: questo attacco dovrebbe dimostrare come sia possibile costruire una pagina web che, senza alcuna interazione da parte dell’utente, sia in grado di sottrarre i dati relativi all’autocompletamento delle form. In pratica si tratta di un JavaScript che inserisce automaticamente lettere e numeri all’interno di un campo di testo e attende che il browser li autocompleti: ad esempio, inserendo la lettera “p” all’interno del campo “email”, un sito web maligno potrebbe ottenere in risposta un indirizzo di posta elettronica che inizi per quella lettera.

Il ricercatore USA afferma che il suo attuale exploit funziona con le versioni 4 e 5 di Safari e con le versioni 6 e 7 di IE. Firefox e Chrome non sono vulnerabili a questo particolare attacco, ma Grossman afferma che soffrono di una debolezza cross-site scripting che può consentire ad un aggressore di ottenere user name e password salvate dal browser.

Il dirigente di WhiteHat Security afferma di aver avvisato Apple del problema oltre un mese fa, ma di non aver ancora ricevuto alcuna risposta.

Alessandro Del Rosso

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Undertaker scrive:
    Filtri mail
    A parte i casi di patent troll come questi, mi sembra di aver letto che i filtri all'email li avrebbe introdotti Pegasus Mail tanti anni fa...Un altro primato al free software ?
  • il signor rossi scrive:
    Altro brevetto incredibile...
    Sostanzialmente se andate a leggerlo consiste in questo: mi arriva un'email dove nel testo non è presente alcuna informazione sul mittente. Allora prendo il campo "From:" (sostanzialmente, l'email) e lo vado a cercare in un database come whois, mentre il campo "Organization:" lo posso cercare su pagine gialle online o un sito equivalente.E' veramente incredibile che si possa brevettare una str***ata del genere!
    • Axel scrive:
      Re: Altro brevetto incredibile...
      gli sta bene: così imparano a lasciare che vengano brevettate delle "pensate" simili...chissà che negli futuri non si arrivi alla paralisi della macchina giudiziaria per cause sulle violazioni, cause contro le cause sulle violazioni, cause contro...etc etc etc...fino a che si romperanno le balle e sanciranno la cancellazione dei brevetti software PER LEGGE.
      • pippo75 scrive:
        Re: Altro brevetto incredibile...
        i
        alla paralisi della macchina giudiziaria per
        cause sulle violazioni, cause contro le cause
        sulle violazioni, cause contro...etc etcma per avvocati, giudici e simili è tutto lavoro.fare e disfare è tutto un lavorare.
Chiudi i commenti