Il clickjacking mette tutti i browser a rischio

Ogni navigatore può cadere vittima di un "furto del click": è previsto dagli standard di Internet e non esiste una patch.



[ZEUS News - www.zeusnews.it - 29-09-2008]

Clickjacking mouse clic iframe javascript

Sta acquisendo una certa notorietà - e facendo preoccupare un buon numero di navigatori - il cosiddetto clickjacking, una sorta di vulnerabilità che colpisce tutti i browser e dalla quale, al momento, non ci sono difese.

La chiamiamo una sorta di vulnerabilità e non una vulnerabilità in senso stretto perché non si tratta di un bug inserito per errore da qualche programmatore ma di un sistema previsto negli standard che potrebbe essere sfruttato da malintenzionati.

Clickjacking è una parola costruita su hijacking (dirottamento): in pratica, si tratta di qualcosa che si può definire come un dirottamento dei click. L'allarme va diffondendosi: prepariamoci a sentire tante variazioni sul tema.

In sé, la questione è tanto semplice quanto pericolosa: si tratta di far credere all'utente che sta cliccando su un oggetto in una data pagina web mentre in realtà sta cliccando su tutt'altro.

Questo effetto si può ottenere usando Javascript o una cornice Iframe. Nel primo caso il rischio è minore: disattivando Javascript ci si mette temporaneamente al riparo. Tuttavia è meno probabile che sia questo il sistema preferito per ingannare i navigatori: a una tecnica così conosciuta e addirittura descritta nei manuali (non si tratta di un errore di programmazione, ricordiamo) verrà preferito qualcosa di meglio.

È qui che entra in gioco Iframe, un elemento legittimo del linguaggio Html anche se sconsigliato dal W3C. La i sta per inner (interno): un Iframe, dunque, è una cornice interna nascosta in una pagina web.

L'utente che visiterà quella pagina crederà di cliccare sui suoi elementi; in realtà cliccherà su quelli contenuti nell'Iframe (steso come un foglio di plastica trasparente sulla pagina, per usare un'analogia chiara e ampiamente utilizzata) e sarà preda di chi avrà preparato il sito. O, meglio: non sarà più padrone dei propri click.

Non si tratta dunque di una tecnica nuova, di una vulnerabilità sconosciuta improvvisamente apparsa o della distrazione di qualche programmatore: è invece qualcosa che esiste da tempo ma il cui sfruttamento per ingannare gli utenti sta conoscendo una crescita in questo periodo.

Come difendersi, dunque, visto che tutti i browser ne sono affetti (a parte quelli veramente antichi, come Internet Explorer 4 e Netscape 4, che non supportano le caratteristiche necessarie)? Disattivando Javascript, disattivando i plugin, navigando solo su siti sicuri: questo consigliano gli esperti di sicurezza che avrebbero dovuto parlare di questa vulnerabilità all'AppSec Conference 2008.

Avrebbero dovuto parlarne ma poi non se ne è fatto nulla su richiesta di Adobe, che ha scoperto una vulnerabilità legata a questa in uno dei suoi prodotti e ha preferito che non fossero divulgati i dettagli fino a che non sarà pronta una patch. Bisogna poi sottolineare che disattivando Javascript molti siti funzioneranno solo in parte, o non saranno per nulla accessibili.

Non resta, insomma, che aspettare nuove versioni dei browser che avvisino gli utenti quando incontrano siti che contengono iFrame sospetti, o che sfruttano Javascript per catturare i click del mouse. Potrebbe volerci un po', però.

Il consiglio, per ora, è dunque prestare la massima attenzione; anche a quei giochini Flash tanto carini, che proprio per la loro attrattiva potrebbero essere usati per carpire i click degli incauti.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 11)

Giustissimo. Ma su centinaia di milioni di utenti quanti sanno della potenziale pericolosità di un click e hanno l'accortezza, di 'navigare' con i piedi di piombo??? Ecco perchè credo che sia indispensabile che i browser risolvano il problema con una patch il più presto possibile. Leggi tutto
30-9-2008 15:12

Navigare (Browsing) e' un po' come guidare l'automobile, guidare esclusivamente in funzione della segnaletica orizzontale e/o verticale che sia, non ci da' la sicurezza di evitare incidenti. Cosa voglio dire, voglio dire che come tutti gli strumenti, anche il Browser va conosciuto, i malintenzionati giocano molto sul click troppo facile... Leggi tutto
30-9-2008 10:30

una ottima misura di sicurezza è rifiutare i cookies da terze parti, che è una opzione che ormai tutti i browser permettono! non risolve tutti i problemi ma ne diminuisce un bel po!
30-9-2008 08:35

Va bene ma è un continuo attiva e disattiva script. Poi da questo articolo posso dedurre che in pratica clickjacking oltre a questi rischi può essere usato per... avete mai sentito parlare di messaggi subliminali? Leggi tutto
30-9-2008 08:31

{stefano}
iframe non c'entra, al massimo un lyaut trasparente, ma poi per cosa??? ?? ? ?? ???
30-9-2008 07:47

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Il gadget del momento è lo smart watch. Si indossa al polso come un orologio tradizionale ma consente di telefonare, mandare Sms, accedere al web, leggere l'email, postare su Twitter o Facebook, ascoltare la musica. Ne acquisteresti uno?
Sì, per leggere l'email / gli Sms / Facebook / Twitter o per ascoltare la musica senza dover utilizzare il telefonino.
No. Ho già uno smart watch: è il mio telefonino. Non sono interessato a un altro accessorio.
No. Non mi interessa leggere l'email o accedere al web dall'orologio. Preferisco che orologio e telefono siano separati.
No. E' una cavolata.
Non saprei.

Mostra i risultati (2740 voti)
Marzo 2020
Oltre un milione di e-book gratis sull'Internet Archive
La truffa della chiavetta Usb che arriva per posta
Windows 10, Pannello di Controllo verso la pensione
Windows 10, in un video un assaggio delle novità
Cellulari, app e privacy ai tempi della pandemia
Coronavirus Challenge, leccare una toilette per notorietà
Windows 10, patch di emergenza per evitare il nuovo WannaCry
L'open source contro il coronavirus
Windows 10, l'update KB4535996 mina le prestazioni
L'Unione Europea vuole un proprio sistema operativo
Addio, Dada.it
Febbraio 2020
Smartphone, la UE rivuole le batterie rimovibili
Il ransomware che prende di mira gli italiani
Il browser per navigare sempre in incognito
Equo compenso, raffica di aumenti per Pc, smartphone e schede Sd
Tutti gli Arretrati


web metrics