Black Hat: riflettori puntati sulla sicurezza dei browser web

Black Hat: riflettori puntati sulla sicurezza dei browser web

Secondo Jeremiah Grossman, CTO di WhiteHat Security, le informazioni personali memorizzate nei browser web dagli utenti sono a rischio

di pubblicata il , alle 12:15 nel canale Sicurezza
 

Tutti i più comuni browser web sono vulnerabili ad un exploit in grado di carpire le informazioni personali degli utenti - questo sarà uno dei principali temi trattati nel corso della Black Hat 2010 conference, evento che aprirà i battenti proprio in data odierna a Las Vegas.

Jeremiah Grossman, CTO di WhiteHat Security, ha infatti annunciato che terrà un briefing intitolato "Breaking browser: Hacking Auto-Complete", nel corso del quale mostrerà come sia possibile sfruttare le funzionalità di autocompletamento del browser per rubare i dati personali degli utenti memorizzati nei browser.

Il completamento automatico è una delle funzionalità più apprezzate dagli utenti proprio perché consente di velocizzare e semplificare le procedure di log-in ed inserimento dati su siti web e forum, inclusi indirizzi, e-mail, numeri delle carte di credito, username e password.

Grossman ha dichiarato di aver realizzato exploit per vari browser, tra cui ovviamente compaiono anche Chrome, Firefox, Internet Explorer e Safari. "Nessuno dei tool che mostrerò è difficile da realizzare", ha precisato Grossman. Grossman ha inoltre reso noto di aver notificato il problema ai produttori di ciascun browser afflitto dalla vulnerabilità, ma finora nessuno di essi gli ha comunicato di avere un piano definito per risolvere il problema.

Il fatto che la vulnerabilità affligga più browser web sviluppati da produttori diversi sembra tuttavia indicare più che altro un errore nella logica di sviluppo del software piuttosto che un bug. Restiamo in attesa di scoprire come si evolverà la situazione in seguito a questo briefing.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
DanieleC8829 Luglio 2010, 12:40 #1
Si hanno notizie su come è messo Opera su questo fronte?
djfix1329 Luglio 2010, 13:26 #2
sono tutti uguali su questo punto di vista
Mde7929 Luglio 2010, 14:16 #3
Tecnicamente sì ma Opera comunque essendo poco tenuto in considerazione è più sicuro e il fatto che il tizio ha costruito tool solo per gli altri software lo conferma
c.m.g29 Luglio 2010, 14:17 #4
Opera è storicamente il più sicuro da questo punto di vista. in passato ci sono stati diversi ricercatori che hanno confermato ciò.
vomito7229 Luglio 2010, 14:34 #5
Uso Opera da anni quando non era ancora free e imho non so se è la familiarità ma lo trovo sempre un passo avanti, completissimo e molto comodo da usare.
In tutti i casi e su tutti i browser non ho mai usato l'autocompletamento e tantomeno mi sognerei di far salvare password ad IE, con opera uso wand per le password e mi pare che siano criptate anche se ci sono tool per decriptarle o renderle visibili ma non credo che possano essere usati tramite bug del browser
djfix1329 Luglio 2010, 14:43 #6
Tutti i browser hanno integrato il salvataggio password e anche se si cripta con altra password (tipo firefox) il browser stesso ci accede liberamente quindi non è , come indicato, un vero bug ma un concetto...opera ne risente quanto gli altri infatti l'exploit è implementabile su qualunque browser il tool poi è sviluppato per la dimostrazione e quindi vengono presi in considerazione i browser + presenti su Win,Linux,Mac.
Stargazer29 Luglio 2010, 16:11 #7
Originariamente inviato da: DanieleC88
Si hanno notizie su come è messo Opera su questo fronte?

Io pure uso opera da parecchio però l'autocompletamento lo uso solo per login a forum

lo dice pure un detto: fidarsi è bene ma non fidarsi è meglio
Narkotic_Pulse___29 Luglio 2010, 18:31 #8
Originariamente inviato da: djfix13
Tutti i browser hanno integrato il salvataggio password e anche se si cripta con altra password (tipo firefox)il browser stesso ci accede liberamente...

è vero anche io uso una master password e te la chiede solo la prima volta
ma imho la master password su firefox non è per proteggere le altre password e criptarle ma è per la privacy.
se uno è al tuo pc e avvia firefox, andando su opzioni>sicurezza>password salvate può prendere qualunque tua password.
invece con la password principale si attacca al caz**
WarDuck29 Luglio 2010, 22:45 #9
Un mio amico sta facendo un progetto da presentare all'esame di Sicurezza Informatica in cui ha iniettato codice nell'eseguibile di firefox per intercettare le credenziali dell'autocompletamento, inoltre ha scoperto che la chiave di default usata per criptare i dati è "cablata" per così dire nel sorgente di Firefox ed è la stessa per ogni eseguibile di Firefox.

Con IE la questione è leggermente diversa perché praticamente IE usa l'url come chiave, per cui se non conosci il sito di cui vuoi avere le credenziali (e cancelli la cronologia per evitare attacchi brute-force) ti attacchi .
riazzituoi30 Luglio 2010, 12:04 #10
.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^