Phishing, tutti i browser vulnerabili

Praticamente tutti i più noti browser web in circolazione sono vulnerabili ad un attacco di tipo phishing utilizzabili da webmaster senza scrupoli per ottenere dati personali e numeri di carte di credito. Ecco come

Roma - Non si salva nessuno. Tutti i più noti browser web sulla piazza condividono infatti un comportamento che, in certe circostanze, potrebbe esporre gli utenti al rischio di cadere in truffe on-line ben congegnate, anche note come phishing.

Il problema, che secondo Secunia si può riscontrare in Internet Explorer, Opera, Safari, Konqueror e i browser della famiglia Mozilla, consiste nella possibilità, per un sito web malevolo, di controllare la finestra pop-up aperta da un altro sito e modificarne il contenuto: perché questo sia possibile, un utente deve aprire il sito fidato in una finestra del browser e il sito malevolo in un'altra finestra. Non è difficile immaginare come un malfattore possa inserire all'interno del pop-up una form che induca l'utente ad introdurre dati personali, password o numeri di carta di credito.

Secunia, che descrive il problema come una vera e propria falla di sicurezza, spiega in questo advisory che l'aggressore può modificare la finestra pop up semplicemente conoscendone il nome. La società di sicurezza ha pubblicato un test on-line con cui è possibile verificare se il proprio browser è vulnerabile.
Microsoft ha confermato che il problema descritto da Secunia accomuna tutte le versioni di Internet Explorer ancora supportate, inclusa quella contenuta nel Service Pack 2 per Windows XP. Il big di Redmond, come altri produttori di browser, rifiuta però di catalogare questo comportamento alla stessa stregua di un bug o di una falla di sicurezza.

Sebbene Thomas Kristensen, chief technology officer di Secunia, ammetta che la "vulnerabilità" non è originata da un errore di programmazione vero e proprio, egli sostiene che essa è in ogni caso il frutto di una grave svista: nessuno dei browser testati dalla società, ha infatti spiegato Kristensen, controlla se il sito che sta modificando un pop-up è autorizzato a farlo. Ad aggravare la cosa interviene poi il fatto che la finestra pop-up è generalmente priva della barra di navigazione, e dunque l'URL della pagina web malevola non viene visualizzato.

In attesa che i produttori di browser modifichino il comportamento dei propri programmi, Secunia suggerisce agli utenti di navigare sui siti protetti tenendo aperta una sola finestra del browser.
TAG: privacy
75 Commenti alla Notizia Phishing, tutti i browser vulnerabili
Ordina
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | Successiva
(pagina 1/5 - 24 discussioni)