Negli scorsi giorni è giunta in redazione la segnalazione di un problema di sicurezza nel noto portale italiano Libero.it sfruttabile dai phisher per sottrarre dati personali agli utenti.
La debolezza, scoperta da Davide Denicolo, è di tipo Cross Site Scripting (XSS) e interessa il Libero Speed Test , un servizio che consente agli utenti di misurare in tempo reale la velocità di download e upload della propria connessione. Denicolo spiega in questo advisory che un aggressore potrebbe utilizzare questa particolarità per inoculare nella pagina del test uno script attraverso la tecnica dell’ HTML Injection .
I phisher potrebbero avvantaggiarsi del problema per modificare la pagina del Libero Speed Test e indurre l’utente ad inserire i propri dati, come nome utente e password, in form estranei al noto sito italiano.
Denicolo afferma di aver tentato di segnalare la falla al webmaster di Libero, ma l’e-mail è tornata indietro. È comunque assai probabile che a breve Libero sistemi il problema. Un problema che, però, non riguarda soltanto certo Libero.it.
Le vulnerabilità XSS sono infatti fra le più frequenti del Web: alcuni esperti sostengono che la maggior parte dei siti più complessi ne contenga almeno una. Una tesi ribattuta sul blog exploit.blogosfere.it , che proprio ieri ha segnalato la presenza di problemi simili a quello di Libero anche nei siti di Tiscali, Supereva e Infinito. Una ricerca più estesa porterebbe probabilmente questa lista a crescere notevolmente.
Ti potrebbe interessare
9 mag 2006