Grave falla in Firefox 2.0

E' stata riscontrata una vulnerabilità in Firefox 2.0 mediante cui è possibile accedere ai dati personali (username e password). Ora provo a spiegare quello che sono riuscito a capire di questo attacco.

Supponiamo di essere all'interno di uno spazio altervista (esempio questo sito) io potrei riprodurre la pagina di login originale e senza accorgervene potreste compilarla coi vostri dati personali (username e password) e Firefox non vi avvertirebbe che in realtà quella non è la pagina originale del login ma solo una brutta copia creata per impossessarsi delle vostre credenziali. Questo attacco è stato denominato Reverse Cross-Site Request e interessa anche Internet Explorer. L'unica soluzione è controllare l'URL dove è ospitato il form di login, io personalmente ho inserito l'indirizzo del login fra i segnalibri e ogni volta che devo loggarmi accedo sempre all'url tramite il segnalibro che rimanda alla pagina autentica.

L'aggravante che rende la vulnerabilità di Firefox molto più grave è che possedendo l'autocompletamento potrei addirittura nascondere il form con un'immagine (senza dover riprodurre la pagina di login di altervista) e quando cliccherete sull'immagine invierete i dati personali che sono stati inseriti dall'autocompletamento.

Da quello che ho capito non è comunque possibile accedere ad altri dati personali relativi ad altri domini (ad esempio le password di una banca non sono accessibili tramite questo BUG, a meno che qualcuno non riesca a inserire del codice HTML nel sito della banca stessa ma sarebbe da preoccuparsi se ciò fosse possibile).

Dunque la vulnerabilità colpisce sopratutto chi ha dei siti Web o dei Blog ospitati su domini come altervista o Myspace e sono questi i dati personali ad essere a rischio. Probabilmente se consultate la posta sul Web è possibile riprodurre l'attacco per le password di accesso all'account con una mail creata per l'occasione.
Mozilla ha riconosciuto la vulnerabilità e pensa di risolverla con le prossime versioni 2.0.01 o 2.0.0.2, nel frattempo si consiglia di non far ricordare a Firefox le password: Strumenti -> Opzioni -> Sicurezza e togliere la spunta da "Ricorda le password dei siti". Altra possibilità è utilizzare Master Password Timeout (per impostare la Master Password leggere qui) che vi avvisa ogni volta che state sottoscrivendo un form di login.
Se come nel caso di MySpace era stato riprodotto il form di login autentico di Myspace all'interno di un Blog ospitato e non ci si accorge che si tratta di un tentativo di phishing nè Firefox nè IE vi avviseranno della truffa, praticamente sono gli unici due browser che vantano un controllo anti-phishing ma, non riescono a riconoscere le truffe se ospitate all'interno di un sottodominio.
Come detto sopra le uniche password potenzialmente a rischio sono quelle di accesso ad aree in cui è possibile da parte degli utenti inserire codice HTML come Forum (ma sono pochi quelli che consentono di inserire HTML e, comunità che offrono spazi Web o di blogging.
Se volete eliminare tutti o qualcuno dei dati personali memorizzati nel Password Manager di Firefox vi consiglio di usare Password Exporter per esportare i dati ed eventualmente recuperarli in tempi migliori.

Se cercate un buon programma per salvare le vostre password proteggendole con un'unica master password scaricate Keypass Password Safe.

Qui uno dei migliori articoli (in italiano) sull'argomento, trovate anche il link ad un proof of concept per toccare con mano la vulnerabilità e questo è il BUG da controllare su Bugzilla sperando venga risolto al più presto.

7 Responses to “Grave falla in Firefox 2.0”


  • [Commento da cancellare]
    Sandro, per cortesia, un articolo così monolitico non va bene!
    Dai uno spazio tra un paragrafo e l'altro, per cortesia!
    Che combini? Lo hai sempre fatto! 😀

  • Avevo letto questa notizia su PuntoInformatico ma non ero sicuro di aver capito bene di cosa si trattasse, ma adesso ne ho avuto la conferma.
    Imho è una vulnerabilità molto grave!
    Speriamo in una fulminea correzione da parte di Mozilla.

    Per adesso esporterò tutte le password con l'estensione che hai segnalato poi proverò il gestore delle password esterno.

  • Ti confesso che anch'io, leggendo stamattina la notizia su Punto Informatico, ho avuto qualche timore su questa prima vera falla (così su legge in parecchi thread) di Firefox.

    Su suggerimento di un post di PI, ho eseguito quanto scritto sopra, ma con qualche dettaglio in più:
    FF2.0: Strumenti, Opzioni, ho tolto la spunta su "Ricorda le password dei siti" e su "Usa una password principale". Poi ho cliccato su "Mostra password", ne ho trovata una (quella di Mozilla Italia, Clive etc.) e l'ho cancellata.

    Naturalmente resto in apprensione, avendo anch'io come gialloporpora, un sito ospitato da altervista.
    Ciao

  • Io non mi sono mai fidato di usarla, onestamente…
    Preferisco tenere i cookie dei forum che frequento, ad esempio, senza cancellarli all'uscita…
    Spero che risolvano comunque presto. Secondo me, la correzione non dovrebbe farsi attendere, conoscendo l'ottimo lavoro della squadra di Mozilla!
    😀

  • Allora io la password di login al sito su altervista non la ho mai fatta memorizzare a Firefox ne a nessun altro browser idem per altre password tipo quelle per controllare il conto corrente. Le password che uso per accedere ai Forum sono invece memorizzate nel Password Manager di Firefox e (almeno io) non le rimuovo in quanto in nessuno dei Forum che frequento si lascia la possibilità agli utenti di inserire codice HTML.
    E' sicuramente sempre buona cosa comunque non memorizzare le password nel browser anche se io lo faccio per pigrizia.
    Nel caso dell'hack su Myspace però, da quanto ho capito, veniva riprodotto esattamente il form originale di login del sito ed era l'utente stesso a digitare i dati a manina quindi in questi casi l'unica cosa è fare molta ma molta attenzione.

  • @ gialloporpora. Riprendo dal mio post più su:
    ————
    Poi ho cliccato su "Mostra password", ne ho trovata una (quella di Mozilla Italia, Clive etc.) e l'ho cancellata.
    ————
    Quoto quanto dici sopra:
    "Le password che uso per accedere ai Forum sono invece memorizzate nel Password Manager di Firefox e (almeno io) non le rimuovo in quanto in nessuno dei Forum che frequento si lascia la possibilità agli utenti di inserire codice HTML."

    Quindi, ecco la domanda: posso rimettere tranquillamente nome e password cancellati, o no? Visto che il forum citato non consente inserimenti di codice HTML.
    Ciao

  • Nello specifico del forum di MozillaItalia non è possibile recuperare i tuoi dati personali sfruttando il BUG sopracitato, ciò non toglie che sarebbe sempre buona cosa non memorizzare password nel browser, se uno è paranoico nemmeno sull'HD, poi la scelta è personale.
    Ciao

Leave a Reply