lunedì 14 marzo 2011

Javasticking: non utilizzate i codici javascript proposti su Facebook


Dopo le numerose segnalazioni ed in seguito ai numerosi “furti” di pagine, dove manualmente o grazie a procedure in javascript venivano aggiunti amministratori (era sufficiente inserire un indirizzo email), Facebook ha applicato una procedura di sicurezza dove, per confermare, viene richiesta la password di accesso del profilo che esegue la modifica all’elenco degli amministratori. Nonostante ciò, è possibile tramite ulteriori procedure, bypassare il controllo di Facebook, non solo per le pagine ma anche per i profili. 

Girano infatti da mesi pacchetti di craking software ben confezionati per applicare il phishing dei dati personali su Facebook. Basta caricare i file e comunicare il link alla vittima. Il pacchetto è generalmente composto da due file: un’index che è l’esatta copia dell’homepage di Facebook; e un file in php che preleva i dati che vengono inseriti dalla vittima nel form di accesso e li scrive su un altro file. Basta che la vittima sia poco esperta, che non faccia attenzione all’url, e in pochi istanti si ottiene username e password del contatto. Ma un sistema molto pratico, che continua a diffondersi è quello dell'uso dei codici Javascript.



Tramite alcune funzioni, residenti su server o pc esterni al social network (server locali), è possibile automatizzare alcune procedure come se fossero eseguite direttamente dal vostro profilo. Tra queste l'invio di messaggi (spam o scam), "Like" a pagine e applicazioni, aggiunta di amministratori a proprie pagine, etc. Si tratta di procedure che permettono anche di rilevare i cookie attivi e inviarli a chi gestisce la pagina o il gruppo scam (ne esistono a centinaia).


Ricordando che nei cookie sono memorizzate le credenziali di accesso ai vostri profili, un semplice script permetterà di recuperare facilmente la password di un account Facebook. Come leggiamo sul sito Technet di Microsoft, gli attacchi con script da altri siti di verificano quando un sito Web inserisce o aggiunge Javascript a richieste altrimenti legittime nei confronti di un altro sito Web. 

La richiesta originale è in genere apparentemente innocua, ad esempio un collegamento a un'altra pagina o uno script CGI (Common Gateway Interface) che offre un servizio comune. Lo script inserito tenta in genere di accedere a informazioni o servizi privilegiati, che il secondo sito Web non desidera concedere. La risposta o la richiesta effettua in genere la reflection dei risultati nel sito Web dannoso. Gli script da altri siti possono consentire attacchi quali i seguenti:
  • Furto di cookie, incluso il furto di cookie di sessione, che possono consentire l'assunzione del controllo dell'account.
  • Monitoraggio dell'input da tastiera nel sito Web o nell'applicazione vittima dell'attacco.
  • Esecuzione di azioni nel sito Web vittima dell'attacco per conto dell'utente vittima dell'attacco. Ad esempio, un attacco con script da altri siti nei confronti del sito Web di posta elettronica di un utente potrebbe consentire a un utente non autorizzato di leggere e inviare messaggi di posta elettronica.
In questo caso il link a cui fà riferimento la pagina in particolare è stato camuffato dal servizio di Url accorciati di Google.


In giro per il Web troviamo numerosi esempi e ben descritti su come operare. Questo perché Facebook si affida così pesantemente allo javascript, e perché è possibile digitare javascript nella barra degli indirizzi, il che  permette di "agire" nelle modalità di funzionamento di Facebook per fare cose che normalmente non saremmo in grado di fare. Non è "hacking" esattamente, ma "cracking" ed impiega lo stesso tipo di abilità usata dagli sviluppatori nelle applicazioni. 

Il fatto che vengono utilizzati i codici di controllo delle stesse "API" che utilizza Facebook, fà in modo che  facebook non può scoprire ciò che state facendo. Quindi è importante non cadere in queste trappole. Nel caso ci siate caduti, cambiate immediatamente la password di accesso al vostro profilo. Accedete all'elenco degli Amministratori della vostra pagina e rimuovete i profili che non conoscete. Controllate anche, nella pagina delle vostre Impostazioni della privacy, alla voce Applicazioni e siti Web, se sono presenti applicazioni sconosciute ed eliminatele.

Nessun commento:

Posta un commento