Algieri Luca

Browser, l'auto-completamento parla troppo

Su Chrome e Safari usare la funzione di compilazione automatica dei moduli potrebbe esporre a possibili attacchi phishing

Roma - Viljami Kuosmanen sviluppatore di Futurice ha portato alla luce una preoccupante vulnerabilità dei moderni browser, e in particolar modo di Chrome e Safari, legata alla funzione di completamento automatico dei moduli che potrebbe essere indotta a fornire ad un attaccante dati sensibili come quelli della carta di credito tramite un semplice escamotage.

La funzione di completamento automatico non deve essere confusa con il riempimento automatico del singolo modulo che permette all'utente di di compilare un campo modulo alla volta con dati inseriti quando si è compilato tale campo in precedenza. La funzione di autocompletamento è stata aggiunta recentemente e permette all'utente di creare un profilo che contiene diversi dettagli personali tra quelli più comunemente usati nella compilazione di moduli online. In questo modo quando l'utente deve compilare un modulo potrà semplicemente selezionare un profilo di compilazione automatica mentre il browser inserirà le informazioni fornite in precedenza in tutti i campi del modulo risparmiando all'utente il tempo necessario all'inserimento magari di dieci, venti o più campi. Osservando tale caratteristica Kuosmanen ha pensato di verificare se l'autocompletamento funzionasse anche in presenza di campi nascosti.

Ha quindi preparato e pubblicato sul proprio repository GitHub una demo per dimostrare come un utente malintenzionato possa ottenere abbastanza facilmente dati sensibili tramite un una pagina Web appositamente progettata. Nel caso la pagina web sia composta da diversi campi, di cui magari visibili solo Nome ed e-mail e celando magari campi come Telefono, Indirizzo, CAP,Città e Paese, all'inserimento dei dati nei campi visibili da parte dell'utente conseguirà la compilazione automatica da parte del browser anche dei campi non visibili senza che l'utente possa rendersene conto se non analizzando il sorgente della pagina. Utilizzando tale stratagemma quindi si avrebbe l'impressione di inviare solo nome e email mentre in realtà si inviano una notevole quantità di dati sensibili.
Kuosmanen ha dichiarato "l'idea per la demo mi è venuta dopo essermi annoiato a correggere gli errori che la funzione autocompletamento di Chrome generava nel riempire i campi su un sito di e-commerce. In seguito ho continuato a guardare quali miei dettagli Chrome aveva salvato per l'autocompletamento e sono rimasto sorpreso da quante informazioni sono disponibili". Secondo test condotti da Bleeping Computer gli unici browser che supportano i profili di compilazione automatica sono Google Chrome, Safari e Opera mentre Edge, Vivaldi, e Firefox non la supportano, anche se Mozilla sta attualmente lavorando per implementarla. Per proteggersi basterà disabilitare la funzione di autocompletamento che viene attivata di default.

Chrome


Opera


Safari


Da parte dei produttori di browser la soluzione migliore per negare questo vettore di attacco potrebbe essere quella di disabilitare la funzione di riempimento automatico per i campi nascosti di un modulo.

Luca Algieri

Fonte Immagine: 1, 2,3
Notizie collegate
  • SicurezzaSafari e IE non difendono le password?A sostenerlo č un ricercatore, che afferma di aver individuato una falla nel sistema di autocompletamento dei campi del browser Apple e di quello Microsoft. Problemi anche per Firefox e Chrome
  • AttualitàChrome è un buco neroPer la privacy. Lo sostiene EFF, che invita i navigatori a fare attenzione a come usano il browser di Google. Mentre BigG si industria per rendere il suo software meno evil possibile. Attenzione anche per gli utenti Firefox
  • AttualitàMicrosoft: IE8 non è ChromeRispedite al mittente le critiche sulla funzione di autocompletamento simile a quella del browser di Google. Con una precisazione sulla questione privacy
28 Commenti alla Notizia Browser, l'auto-completamento parla troppo
Ordina
  • Interessante notare come Microsoft Edge NON è affetto da questa mega-falla

    Saluti da P4
    non+autenticato
  • L'altro giorno dicevano che era colpa di Apple!

    Invece è una cosa di tutti.

    Bravi PI! Sempre dalal parte del vero!
    non+autenticato
  • Premessa.

    Scrivo queste cose perché vi voglio bene. Non è necessario rispettare tutti i punti, non è nemmeno detto che rispettando tutti i punti eviterete con certezza assoluta tutti i mali del web.

    Non c'è niente di "tecnico", sono delle semplici precauzioni del tipo: "prendi l' ombrello fuori piove, usa il preservativo se non vuoi pagare gli alimenti alla tua futura exSorride".

    Non dovete essere d' accordo con quello che ho scritto.

    Se siete già stufi di leggere lasciate perdere e siate feliciSorride.

    In linea di massima non esiste l'eventualità di danneggiare il vostro pc, tutto avviene dentro una macchina virtuale. Questo non è un how-to, spetta a voi procurare i dettagliA bocca aperta.

    Cominciamo.

    1) browser tramite container/seccomp/sandbox_che_vi_pare su macchina virtuale, conservare l' immagine originale in modo da ripristinare in caso di necessità. Cancella immagine, copia immagine_originale su > immagine.

    2) javascript disabilitato di default, permesso di esecuzione script concesso di volta in volta solo per la sessione in base ai domini necessari alla navigazione. Non ci guadagnate nel far eseguire script a google-analytics.com.

    3) filtraggio dei domini spazzatura tramite file hosts (OSX/Win/Lin/BSD). Attenzione! Non tutti i browser rispettano il file hosts, tor browser bundle per esempio non lo fa (se usate tor leggetevi scrupolosamente le faq). In quei casi il proxy chaining risolve, il primo proxy davanti a tor fa da filtro. File hosts già pronti sono facilmente reperibili.

    4) cookies disabilitati di default, accettare quando necessario solo cookies per la sessione, eliminarli appena usciti dal dominio in questione.

    5) impostare la home page su about:blank.

    6) disattivare qualsiasi funzione che faccia riferimento a dati di navigazione anteriori. Questa è la parte più difficile, ciascun browser è un mondo a sé stante.

    7) sceglietevi un browser con un fingerprint comune.

    8) evitare di installare addons. Al massimo soltanto uno per gestire javascript e fate attenzione al loro comportamento (scansionando i pacchetti, vedi punto 9). Gli ad-blocker non servono a un passo, funzionano solo sul browser dove li avete installati ed inviano i passi vostri non si sa dove, potrebbero per giunta sputtanare proxy anonimizzatori e vpn con i loro leak DNS. Avete filtrato già i domini tramite file hosts e blocco JS.

    9) controllare se il browser invia/riceve pacchetti dopo l' avvio e nei nei periodi di "idle". Per i winari: la macchina virtuale non deve essere windows, il software per il controllo dei pacchetti in uscita va lanciato dalla macchina guest.

    10) se siete a corto di ram a causa del proxy chainig, macchina virtuale, file host, disabilitate l' antivirus A bocca aperta.

    Ecco i 10 comandamenti del web 00 (doppio zero A bocca aperta).

    Si accettano commenti, gente seria no perditempo Ficoso.
    non+autenticato
  • - Scritto da: decalogo del paraqul web

    >
    > Si accettano commenti, gente seria no perditempo
    >Ficoso.

    Ci sarebbe quella parte dove dici no ad-block.

    Vedi, a me la pubblicita' piace molto, soprattutto quella invasiva, e mi da' un tremendo fastidio quando pagine di testo informativo si inseriscono tra un banner e l'altro.
    Come suggerisci di fare?
  • - Scritto da: panda rossa
    > - Scritto da: decalogo del paraqul web
    >
    > >
    > > Si accettano commenti, gente seria no
    > perditempo
    >
    > >Ficoso.
    >
    > Ci sarebbe quella parte dove dici no ad-block.
    >
    > Vedi, a me la pubblicita' piace molto,
    > soprattutto quella invasiva, e mi da' un tremendo
    > fastidio quando pagine di testo informativo si
    > inseriscono tra un banner e
    > l'altro.
    > Come suggerisci di fare?

    Punto 8.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: panda rossa
    > > - Scritto da: decalogo del paraqul web
    > >
    > > >
    > > > Si accettano commenti, gente seria no
    > > perditempo
    > >
    > > >Ficoso.
    > >
    > > Ci sarebbe quella parte dove dici no ad-block.
    > >
    > > Vedi, a me la pubblicita' piace molto,
    > > soprattutto quella invasiva, e mi da' un
    > tremendo
    > > fastidio quando pagine di testo informativo si
    > > inseriscono tra un banner e
    > > l'altro.
    > > Come suggerisci di fare?
    >
    > Punto 8.

    Non capisco.
    Se mi dici di non installare gli add-on, come faccio ad eliminare tutte quelle fastidiose parti di testo informativo tra un banner tracciante e un filmato invasivo?
  • Blacklist Proxy.
    non+autenticato
  • - Scritto da: decalogo del paraqul web
    > Ecco i 10 comandamenti del web 00 (doppio zero
    >A bocca aperta).

    Con 00 non si indica anche il bagno, la "ritirata"?
    iRoby
    7757
  • Esatto, un web dove l'utente è costretto a reagire e tirare lo sciacquone per non soffocare nei liquami A bocca aperta.
    non+autenticato
  • 11) Quando usate una VPN il file HOSTS personalizzato non è considerato.
    non+autenticato
  • Le vpn sono delle prese per il cuculo.
    non+autenticato
  • e' sufficente un programma come ccleaner o la controparte per Linux BleachBit
    non+autenticato
  • mi pare ridicolo che non si siano accorti di una vulnerabilità così banale già prima. è assurdo anche compilare i campi della carta di credito senza chiedere conferma, software come lastpass almeno la chiedono.
    non+autenticato
  • - Scritto da: bulbo
    > mi pare ridicolo che non si siano accorti di una
    > vulnerabilità così banale già prima. è assurdo
    > anche compilare i campi della carta di credito
    > senza chiedere conferma, software come lastpass
    > almeno la
    > chiedono.

    ennesima conferma che l'open source non è più sicuro del closed
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)