Uno dei ricercatori della società White Hat Security, Jeremiah Grossman, ha anticipato l’argomento sul quale verterà il suo intervento in occasione della prossima “Black Hat Conference”, prevista per fine luglio a Las Vegas, negli States.
Grossman ha rilevato alcune “défaillances” nei browser web più famosi ed utilizzati che riguardano il funzionamento dell'”autocompletamento” dei vari campi presenti nei moduli online.
Secondo l’esperto, nomi utente, password, indirizzi e-mail, nominativi vari, numeri di carte di credito e codici di autorizzazione potrebbero divenire ben presto facile preda degli aggressori. Grossman ha spiegato che l’attacco si concretizza allestendo una pagina web contenente una serie di campi con le “etichette” solitamente più utilizzate nei form di login o nei moduli di inserimento dati. Tali campi possono essere anche resi nascosti per non insospettire il malcapitato utente.
Quindi, con un semplice codice JavaScript, Grossman sarebbe riuscito a recuperare molti dati personali inseriti dall’utente in altri form online. Come? Il codice JavaScript “maligno” provvederebbe a digitare automaticamente, alcune combinazioni di caratteri in ciascun campo attendendo le eventuali risposte fornite dalla funzionalità di completamento automatico del browser.
Grossman ha aggiunto che l’attacco è sicuramente in grado di andare a buon fine su Safari 4 e 5. Ha spiegato, poi, di aver informato Apple del problema oltre un mese fa, il 17 giugno, non avendo per il momento ottenuto alcun riscontro.
Un simile scenario d’attacco sarebbe possibile anche su Internet Explorer 6 e 7 mentre Chrome e Firefox risulterebbero vulnerabili solo combinando l’aggressione con un attacco “cross-site scripting“.
Grossman ha affermato di aver individuato un meccanismo che può portare alla “distribuzione” di tutti i cookie conservati da un browser, semplicemente limitandosi a visitare una pagina web. Inviando un gran numero di cookie, si obbligherà il browser a rimuovere quelli più vecchi operando una sovrascrittura dei dati. In Firefox, ad esempio, dopo 2,5 secondi e l’invio di 3.000 nuovi cookie, non sembra più esserci traccia dei cookie dell’utente.