Il pericolo che viene dal browser
Safari consegna automaticamente le informazioni personali degli
utenti. Ma anche gli altri browser presentano vulnerabilità che
espongono al furto delle password.
[ZEUS News -
www.zeusnews.com - 24-07-2010]
Foto via Fotolia
Gli utenti di Safari 4 e 5 farebbero bene a disabilitare quanto prima
la funzione di autocompletamento dei moduli: Jeremiah Grossman, di
WhiteHat Security, ha scovato un problema che può far cadere nelle
mani sbagliate le informazioni personali degli utenti.
La causa di tutto ciò sta nel modo in cui Safari (e non è chiaro se
altri browser basati su Webkit soffrano dello stesso problema)
gestiscel'inserimento dei dati nelle form.
Grossman ha scoperto che, se in una pagina Web sono presenti dei form
dinamici con alcuni nomi specifici (come indirizzo, cognome e via di
seguito) usando JavaScript è possibile farli riempire automaticamente,
anche se detti form non sono visibili all'utente.
Ciò porta a un possibile ed evidente problema di privacy, che lo
scopritore afferma di avere notificato a Apple già lo scorso 17
giugno, ricevendo tuttavia soltanto una risposta automatica.
L'azienda di Cupertino ha commentato l'uscita di Grossman (il quale ha
anche preparato una pagina dimostrativa) cercando di rassicurare gli
utenti e asserendo di essere al lavoro su una soluzione.
Se i browser non basati su Webkit sono al sicuro per quanto riguarda
questa la vulnerabilità, non è detto che i loro utenti possano dormire
sonni tranquilli: alla prossima Black Hat Conference, in programma a
Las Vegas i prossimi 28 e 29 luglio, lo stesso Grossman mostrerà bug
in Firefox, Internet Explorer 6 e 7 e Chrome che metterebbero in
pericolo le informazioni salvate dagli utenti nel sistema di
inserimento automatico dei dati di login.
