Il clickjacking mette tutti i browser a rischio

Ogni navigatore può cadere vittima di un "furto del click": è previsto dagli standard di Internet e non esiste una patch.



[ZEUS News - www.zeusnews.it - 29-09-2008]

Clickjacking mouse clic iframe javascript

Sta acquisendo una certa notorietà - e facendo preoccupare un buon numero di navigatori - il cosiddetto clickjacking, una sorta di vulnerabilità che colpisce tutti i browser e dalla quale, al momento, non ci sono difese.

La chiamiamo una sorta di vulnerabilità e non una vulnerabilità in senso stretto perché non si tratta di un bug inserito per errore da qualche programmatore ma di un sistema previsto negli standard che potrebbe essere sfruttato da malintenzionati.

Clickjacking è una parola costruita su hijacking (dirottamento): in pratica, si tratta di qualcosa che si può definire come un dirottamento dei click. L'allarme va diffondendosi: prepariamoci a sentire tante variazioni sul tema.

In sé, la questione è tanto semplice quanto pericolosa: si tratta di far credere all'utente che sta cliccando su un oggetto in una data pagina web mentre in realtà sta cliccando su tutt'altro.

Questo effetto si può ottenere usando Javascript o una cornice Iframe. Nel primo caso il rischio è minore: disattivando Javascript ci si mette temporaneamente al riparo. Tuttavia è meno probabile che sia questo il sistema preferito per ingannare i navigatori: a una tecnica così conosciuta e addirittura descritta nei manuali (non si tratta di un errore di programmazione, ricordiamo) verrà preferito qualcosa di meglio.

È qui che entra in gioco Iframe, un elemento legittimo del linguaggio Html anche se sconsigliato dal W3C. La i sta per inner (interno): un Iframe, dunque, è una cornice interna nascosta in una pagina web.

L'utente che visiterà quella pagina crederà di cliccare sui suoi elementi; in realtà cliccherà su quelli contenuti nell'Iframe (steso come un foglio di plastica trasparente sulla pagina, per usare un'analogia chiara e ampiamente utilizzata) e sarà preda di chi avrà preparato il sito. O, meglio: non sarà più padrone dei propri click.

Non si tratta dunque di una tecnica nuova, di una vulnerabilità sconosciuta improvvisamente apparsa o della distrazione di qualche programmatore: è invece qualcosa che esiste da tempo ma il cui sfruttamento per ingannare gli utenti sta conoscendo una crescita in questo periodo.

Come difendersi, dunque, visto che tutti i browser ne sono affetti (a parte quelli veramente antichi, come Internet Explorer 4 e Netscape 4, che non supportano le caratteristiche necessarie)? Disattivando Javascript, disattivando i plugin, navigando solo su siti sicuri: questo consigliano gli esperti di sicurezza che avrebbero dovuto parlare di questa vulnerabilità all'AppSec Conference 2008.

Avrebbero dovuto parlarne ma poi non se ne è fatto nulla su richiesta di Adobe, che ha scoperto una vulnerabilità legata a questa in uno dei suoi prodotti e ha preferito che non fossero divulgati i dettagli fino a che non sarà pronta una patch. Bisogna poi sottolineare che disattivando Javascript molti siti funzioneranno solo in parte, o non saranno per nulla accessibili.

Non resta, insomma, che aspettare nuove versioni dei browser che avvisino gli utenti quando incontrano siti che contengono iFrame sospetti, o che sfruttano Javascript per catturare i click del mouse. Potrebbe volerci un po', però.

Il consiglio, per ora, è dunque prestare la massima attenzione; anche a quei giochini Flash tanto carini, che proprio per la loro attrattiva potrebbero essere usati per carpire i click degli incauti.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 11)

Giustissimo. Ma su centinaia di milioni di utenti quanti sanno della potenziale pericolositÓ di un click e hanno l'accortezza, di 'navigare' con i piedi di piombo??? Ecco perchŔ credo che sia indispensabile che i browser risolvano il problema con una patch il pi¨ presto possibile. Leggi tutto
30-9-2008 15:12

Navigare (Browsing) e' un po' come guidare l'automobile, guidare esclusivamente in funzione della segnaletica orizzontale e/o verticale che sia, non ci da' la sicurezza di evitare incidenti. Cosa voglio dire, voglio dire che come tutti gli strumenti, anche il Browser va conosciuto, i malintenzionati giocano molto sul click troppo facile... Leggi tutto
30-9-2008 10:30

una ottima misura di sicurezza Ŕ rifiutare i cookies da terze parti, che Ŕ una opzione che ormai tutti i browser permettono! non risolve tutti i problemi ma ne diminuisce un bel po!
30-9-2008 08:35

Va bene ma Ŕ un continuo attiva e disattiva script. Poi da questo articolo posso dedurre che in pratica clickjacking oltre a questi rischi pu˛ essere usato per... avete mai sentito parlare di messaggi subliminali? Leggi tutto
30-9-2008 08:31

{stefano}
iframe non c'entra, al massimo un lyaut trasparente, ma poi per cosa??? ?? ? ?? ???
30-9-2008 07:47

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Da dove scarichi di solito i file (app, film, libri, giochi)?
Scarico i file da fonti sempre diverse
Scarico file da siti di cui mi fido
Non scarico molti file e presto sempre attenzione al sito da cui li scarico
Scarico i file solo da negozi online e da app store di fiducia
Non scarico nulla

Mostra i risultati (1352 voti)
Ottobre 2020
Quel motivetto che hai in testa? Se lo fischietti, Google lo indovina
YouTube pronta a far guerra ad Amazon
Le cipolle troppo sexy per Facebook
Smishing, i consigli per non cadere nel tranello
Arrestato per recensioni online negative di un albergo
Windows 10, arriva l'installazione personalizzata
Il sito che installa tutte le app essenziali per Windows 10
Covid-19, casi sottostimati per colpa di Excel
Il furto automatico del PIN della carta di credito
Windows 10 avvisa l'utente se un SSD sta per morire
Windows 10 e i driver che vengono dal passato
Settembre 2020
Se tutte le auto fossero elettriche, quanta energia in più servirebbe?
Windows XP, il codice sorgente finisce in Rete
Vecchio televisore mette KO la connessione Adsl di un intero paese
Attacco ransomware mette in ginocchio Luxottica
Tutti gli Arretrati


web metrics