mercoledì 18 agosto 2010

Smartphone? Attenti al Tapjacking

Pochi utenti di smartphone ne sono consapevoli, ma, navigare su Internet con il telefonino sta diventando molto pericoloso a causa di un nuovo tipo di attacco chiamato "Tapjacking" che ha come bersaglio proprio i browser degli smartphone.

Una ricerca presentata al Workshop on Offensive Technologies (WOOT) e al BlackHat 2010 da Elie Burszstein e da alcuni altri ricercatori della Stanford University, descrive nel dettaglio questo tipologia di attacco che trasporta sugli smartphone un ben noto attacco ormai da tempo presente sui browser dei PC, il "clickjacking". Come entrambi i nomi fanno capire, si tratta di un attacco che tenta di rubare i click (o i "Tap" nel caso degli smartphone) dell'utente per completare delle operazioni che l'utente non aveva intenzione di effettuare.

Nello specifico, questa tecnica di attacco è estremamente efficiente sugli smartphone a causa delle ridotte dimensioni dello schermo che rendono molto difficile per gli utenti capire su cosa si sta cliccando, inoltre, proprio per incrementare l'area utile nello schermo, la barra del browser è a scomparsa, eliminando quindi la principale fonte di informazioni per l'utente.

Diventa quindi possibile per un attaccante predisporre un sito web "malevolo" in modo tale che un utente sia convinto di cliccare su una risorsa della pagina Web che ha acceduto, mentre invece sta cliccando su un pulsante di una pagina nascosta che, ad esempio, ruba le password o conferma un trasferimento di denaro. 

Poiché il browser riempie di solito l'intero schermo del telefono cellulare, un aggressore può "disegnare tutto quello che vuole sullo schermo, e l'utente non può dire ciò che è reale e ciò che è stato inserito da un attaccante", dice Elie Bursztein. Questo trend, inoltre è destinato a peggiorare visto che sempre più utenti, attraverso i cellulari, visitano siti "a valore aggiunto", come banking, e-commerce e social network.

Ecco un video che dimostra in concreto come si svolge un attacco di questo tipo. In questo video si vede come un utente clicca su un bottone pensando di avviare un gioco e invece invia un messaggio su Twitter.

Visto il problema, è certo che sarà necessario un grande sforzo congiunto per cercare di trovare delle soluzioni efficaci.

Nessun commento:

Posta un commento

http://www.wikio.it