Internet Explorer 11 ha un falla che permette a un malintenzionato di rubare password e dati di accesso, nonché d'inserirsi nel traffico web e aggiungervi contenuti pericolosi, come malware o link a pagine infette. Microsoft è a conoscenza del problema è sta già lavorando a una soluzione.
Nello specifico si tratta di una vulnerabilità XSS (cross-site scripting), che permette di eseguire un attacco aggirando la same origin policy (Wikipedia) - strumento che dovrebbe autorizzare solo comandi dal sito web che si sta visitando e non da altri, e altresì impedire a un sito web di modificare i cookie di un altro sito.
Falla in IE11, demo
Ebbene, con Internet Explorer 11 è possibile aggirare tale limite; nella demo un sito inserisce una stringa indesiderata su un altro sito. La prova pubblicata è innocua, e fa capire che per portare a termine l'attacco si sfruttano gli iframe - una sorta di "contenitore" utile in questo caso a ingannare il browser riguardo l'origine di un elemento. Con lo stesso metodo però si potrebbero sottrarre dati archiviati sul computer, in particolare appunto i cookie per l'accesso.
"Sarebbe semplice", scrive Dan Goodin su ArsTechnica, "rubare i cookie di autenticazione […]. Una volta che ci si è impossessati dei cookie un attaccante potrebbe avere accesso all'area riservata che sarebbe normalmente accessibile solo alla vittima, compresa quella con i dati della carta di credito, cronologia di navigazione e altri dati riservati. I phisher potrebbero anche sfruttare il bug per spingere le persone a comunicare password per siti sensibili".
Microsoft dice di non essere al corrente di attacchi che usino questa falla e sta lavorando a una soluzione, e fa notare che per sfruttarla prima di tutto il criminale dovrebbe indurre la vittima a visitare un sito pericoloso. Una possibilità arginata in parte dalla funzione SmartScreen di Internet Explorer. L'azienda rinnova il consiglio, sempreverde, a non cliccare su link sospetti e a chiudere sempre la sessione quando si lascia un sito.
Le possibilità di far cadere qualcuno in trappola, tuttavia, oggi sono purtroppo abbondanti: oltre al classico messaggio email, infatti, i criminali hanno a disposizione i social network, programmi di messaggistica come Whatsapp e persino i banner pubblicitari potrebbero nascondere una minaccia.