La funzione di autocompletamento delle form di Safari e Internet Explorer potrebbe esporre gli utenti a gravi rischi per la sicurezza. A rivelarlo è stato il ricercatore Jeremiah Grossman , CTO di WhiteHat Security , secondo il quale l’autocompletanto può essere sfruttato da malintenzionati per ottenere dati personali come password, numeri di carta di credito e indirizzi email.
Grossman ha detto che rilascerà un attacco proof-of-concept in occasione dell’imminente conferenza Black Hat di Las Vegas, in programma la prossima settimana: questo attacco dovrebbe dimostrare come sia possibile costruire una pagina web che, senza alcuna interazione da parte dell’utente, sia in grado di sottrarre i dati relativi all’autocompletamento delle form. In pratica si tratta di un JavaScript che inserisce automaticamente lettere e numeri all’interno di un campo di testo e attende che il browser li autocompleti: ad esempio, inserendo la lettera “p” all’interno del campo “email”, un sito web maligno potrebbe ottenere in risposta un indirizzo di posta elettronica che inizi per quella lettera.
Il ricercatore USA afferma che il suo attuale exploit funziona con le versioni 4 e 5 di Safari e con le versioni 6 e 7 di IE. Firefox e Chrome non sono vulnerabili a questo particolare attacco, ma Grossman afferma che soffrono di una debolezza cross-site scripting che può consentire ad un aggressore di ottenere user name e password salvate dal browser.
Il dirigente di WhiteHat Security afferma di aver avvisato Apple del problema oltre un mese fa, ma di non aver ancora ricevuto alcuna risposta.
Alessandro Del Rosso