Cookiejacking è nuova minaccia per utenti di IE!
Un ricercatore di sicurezza italiano, Rosario Valotta, ha scoperto una vulnerabilità in tutte le versioni di Internet Explorer, inclusa la recente versione 9, che potrebbe consentire ad un malintenzionato di rubare le credenziali di accesso a Facebook, Twitter e ad altri siti web. La tecnica, nota con il termine cookie hijacking, sfrutta un bug nella gestione dei cookie da parte del browser Microsoft.
I cookie sono file di testo che conservano i dati all’interno del browser, tra cui il nome dell’utente e la password necessari per il login. Il funzionamento si basa sulle note tecniche di social engineering. L’utente infatti deve essere attirato su un sito web e invogliato a spostare un oggetto sullo schermo.
Sembra dunque difficile costringere l’utente ad una interazione così elevata; in realtà, come dimostrato da Valotta, è molto semplice. È stato sufficiente creare un gioco su Facebook, in cui gli utenti dovevano spogliare una donna spostando i pezzi di un puzzle:
“Ho pubblicato questo gioco online su Facebook e, in meno di tre giorni, oltre 80 cookie sono stati inviati al mio server. E ho solo 150 amici.”
Microsoft ha risposto dicendo che, a causa del livello di interazione, non si tratta di un problema ad alto rischio. Nonostante queste parole rassicuranti, è sempre meglio evitare di accettare richieste inviate dagli amici relative a giochi o applicazioni sospette.
Un ricercatore di sicurezza italiano, Rosario Valotta, ha scoperto una vulnerabilità in tutte le versioni di Internet Explorer, inclusa la recente versione 9, che potrebbe consentire ad un malintenzionato di rubare le credenziali di accesso a Facebook, Twitter e ad altri siti web. La tecnica, nota con il termine cookie hijacking, sfrutta un bug nella gestione dei cookie da parte del browser Microsoft.
I cookie sono file di testo che conservano i dati all’interno del browser, tra cui il nome dell’utente e la password necessari per il login. Il funzionamento si basa sulle note tecniche di social engineering. L’utente infatti deve essere attirato su un sito web e invogliato a spostare un oggetto sullo schermo.
Sembra dunque difficile costringere l’utente ad una interazione così elevata; in realtà, come dimostrato da Valotta, è molto semplice. È stato sufficiente creare un gioco su Facebook, in cui gli utenti dovevano spogliare una donna spostando i pezzi di un puzzle:
“Ho pubblicato questo gioco online su Facebook e, in meno di tre giorni, oltre 80 cookie sono stati inviati al mio server. E ho solo 150 amici.”
Microsoft ha risposto dicendo che, a causa del livello di interazione, non si tratta di un problema ad alto rischio. Nonostante queste parole rassicuranti, è sempre meglio evitare di accettare richieste inviate dagli amici relative a giochi o applicazioni sospette.
Comment