Sicurezza browser: tutti sono vulnerabili al Clickjacking. Ecco in cosa consiste la minaccia.

La ricercatrice SecNiche Aditya Sood, consulente Novologica, ha individuato una falla legata a Javascript capace di coinvolgere tutti i browser sul mercato. La vulnerabilità è stata riscontrata in Google Chrome 1.0.154.43 e potrebbe essere sfruttata per il clickjacking, la tecnica che consiste nel far credere all’utente di stare cliccando su un determinato oggetto della pagina web, mentre in realtà si sta cliccando su un altro pulsante. «Clickjacking» ha spiegato la Sood «significa che ogni interazione che l’utente ha con un sito web, ad esempio un click, può non essere quel che sembra». Con tutte le conseguenze

del caso, anche le più pericolose, come essere reindirizzati verso un sito contenente codice malevolo.

Già ad ottobre del 2008, i ricercatori americani Robert Hansen e Jeremiah Grossman avevano scoperto una vulnerabilità analoga, basata sul modo stesso in cui è stato pensato e sviluppato il World Wide Web, sia per quanto riguarda il tag IFRAME sia per i linguaggi HTML e per Javascript. In linea teorica, la nuova falla non dovrebbe comportare conseguenze per chi usa Opera 9.63 e Internet Explorer 8, appena rilasciato in versione Release Candidate 1. Tuttavia si tratta solo di un’ipotesi teorica tutta da verificare.

Giorgio Maone, sviluppatore NoScript, ritiene che IE8 non sia immune dal problema, anche perché la protezione può essere attivata solo dallo sviluppatore della pagina web e non dall’utente. Occorre quindi che le specifiche di protezione legate al clickjacking per IE8 diventino standard. E, inoltre, il problema dovrebbe essere risolto a monte e la soluzione provenire direttamente dai browser utilizzati.

Soluzioni tampone esistono, come il plug-in NoScript per Firefox di Mozilla. Ma se durante la navigazione siamo in presenza di IFRAME, ovvero di una cornice interna nascosta in una pagina web, una sorta di filtro invisibile deputato al redirect dei click dell’utente, la disabilitazione di Javascript perde efficacia.