Alcuni test sulla vulnerabilità di Firefox

Facendo riferimento a questo proof of concept realizzato da Capin information Services (CIS) per testare la vulnerabilità del Password Manager di Firefox ho fatto alcuni test.

Ho prima installato la toolbar di Netcraft per vedere se segnala il tentativo di furto delle credenziali, sul loro sito viene riportato quanto segue:

During October, alert members of the Netcraft Toolbar community discovered a clever attack against the popular social networking site MySpace. Other users of the Netcraft Toolbar were promptly protected against this convincing attack, which used MySpace's own servers to present a spoof login form.

che è l'attacco che ha messo in luce le vulnerabilità di Firefox (e in questo caso anche dello stesso IE). Fatto il test ma Netcraft non mi avvisa di nulla cliccando sul video vengo rimandato alla pagina di Google e nell'URL appare:

http://…&loginuser=pippo&loginpass=passwordreale&x=484&y=485

che significa che l'attacco ha avuto esito positivo :-(.

A questo punto faccio un esperimento registro un altro utente stavolta invece di chiamarlo pippo chiamo pippofalso e una volta registrato un secondo utente Firefox non sa più autocompletare il form perché non sa decidere quale dei due utenti scegliere, cliccando sul video questo è il risultato:

http://…s&loginuser=&loginpass=&x=337&y=561

😀 😀 😀 :-D. Come si può notare l'attacco non ha avuto l'effetto sperato dall'hacker.
Se poi vado a rifare il login questo non si autocompleta ma inserendo il solo username Firefox suggerisce automaticamente la password:

Password hack

in questo modo non è necessario fare uno sforzo di memoria per ricordare la password.

CONCLUSIONI
1) Le password importanti come quelle relative a conti bancari non vanno mai memorizzate nei browser
2) Inserendo due utenti user e userfalso Firefox non riesce ad autocompletare i form e quindi non è possibile sfruttare la vulnerabilità nascondendo in un immagine un "Submit" per i form.
3) Firefox come anche IE7 non sono ancora capaci di fare dei controlli sui form per stabilire la loro autenticità , l'unica possibile soluzione, per quanto riportato sul sito di Netcraft, è usare la loro toolbar (nel test sul sito di Capin Information Services non ha funzionato ma forse perché non è un dominio in cui ci si aspetta venga eseguito un tale attacco non ospitando al suo interno sottodomini di altri utenti).

0 Responses to “Alcuni test sulla vulnerabilità di Firefox”


  • No Comments

Leave a Reply