Un difetto nel browser Firefox di Mozilla rende facile per i criminali informatici rubare le informazioni degli utenti sui siti Web in cui gli utenti creano le proprie pagine, come MySpace.com.
Il difetto risiede nel software Password Manager di Firefox, che può essere indotto a inviare informazioni sulla password al sito Web di un utente malintenzionato, ha affermato Robert Chapin, presidente di Chapin Information Services. Affinché questo attacco funzioni, gli aggressori devono essere in grado di creare moduli HTML (Hypertext Markup Language) sul sito Web, cosa consentita sui siti di blog e social network.
L'attacco è stato utilizzato in un attacco di phishing su MySpace segnalato alla fine di ottobre. In quell'attacco, gli utenti hanno registrato un account MySpace denominato login_home_index_html e lo hanno utilizzato per ospitare una falsa pagina di accesso che sfruttava il difetto.
Questa pagina ha inviato informazioni su nome utente e password di MySpace a un altro sito Web e gli utenti di MySpace che hanno visitato la pagina utilizzando Firefox avrebbero potuto facilmente compromettere le loro informazioni, ha affermato Chapin.
Gli sviluppatori di Firefox valutano questo bug come critico, secondo an voce nel database Bugzilla del progetto. Il bug riguarda le versioni su tutti i sistemi operativi, secondo il rapporto.
Il difetto sorge perché il gestore delle password di Firefox non esegue un controllo sufficientemente approfondito quando decide se inviare o meno informazioni sulla password e quindi non garantisce che le informazioni sulla password vengano inviate al server che le ha richieste, Chapin disse. Nell'attacco a MySpace, ad esempio, Firefox controllava se il modulo proveniva dal file Dominio MySpace.com, ma non si è assicurato che le informazioni sulla password venissero rispedite a a Server di MySpace.
"Dal punto di vista della programmazione, questo è quasi come un errore di battitura", ha detto. “Ironia della sorte, penso che sia per questo che non è stato scoperto fino ad ora. Era semplicemente troppo ovvio.
Chapin ha pubblicato un analisi di questo tipo di attacco, che ha soprannominato Reverse Cross-Site Request, così come a dimostrazione di come funziona.
Anche Internet Explorer (IE) di Microsoft Corp. è suscettibile a questo tipo di attacchi perché, ad esempio Firefox, non garantisce che le informazioni sulla password vengano inviate allo stesso server che lo richiede, Chapin ha detto.
Ma è meno probabile che IE venga ingannato perché svolge un lavoro più approfondito nel controllare da dove proviene il modulo di accesso prima di inviare automaticamente la password e le informazioni sull'utente, ha aggiunto.