A luglio di quest’anno Jeremiah Grossman, ricercatore esperto nel campo della sicurezza, riportava una falla di Safari che consentiva a malintenzionati di leggere informazioni personali quali: nome, cognome, città, indirizzo e-mail e altre ancora, sfruttando l’autofill, la funzione di riempimento che consente di compilare in automatico i moduli presenti sul web. Questa falla è stata corretta con l’aggiornamento alla versione 5.01 di Safari ma lo stesso ricercatore ha ora individuato un nuovo sistema che potrebbe consentire a malintenzionati di estrarre informazioni dalla Rubrica Indirizzi. Il bug non è facile da riprodurre e l’attacco non semplice da portare a tempo (un sito web dovrebbe abilmente ingannare l’utente invitandolo a digitare alcuni caratteri) ma l’autore mostra con un filmato la prova concettuale del possibile utilizzo. Un sito ad hoc dovrebbe individuare l’indirizzo IP di provenienza del visitatore, attivare dei moduli nascosti sfruttando la funzionalità di trasparenza dei fogli stile CSS e forzare il focus nel campo nel quale digitare la voce “Nazione” o “Paese”; se il paese è USA, ad esempio, l’utente è invitato a digitare la lettera “U” e premere “Tab”: in questo modo i campi nascosti del form acquisiranno i dati digitati (ma l’utente non si accorgerà di nulla) e questi potranno essere inviati a un server.
La falla non è pericolosa ed è difficile da sfruttare. Ad ogni modo, così come con la falla precedente, anche in questo caso è possibile proteggersi: basta portarsi sul menu “Safari”, scegliere la voce “Preferenze” e dalla sezione “Riempimento automatico” disabilitare (togliere il segno di spunta) dalla voce “Utilizza informazioni dalla mia scheda Rubrica Indirizzi”.
[A cura di Mauro Notarianni]
