Script maliziosi lato client. Le estensioni fanno la loro parte

In giro per la rete sono reperibili migliaia di script greasemonkey per abbellire e rendere più efficienti le pagine web che visitiamo quotidianamente. Greasemonkey elabora codice javascript che viene eseguito nel browser immediatamente dopo aver caricato la pagina.

Il problema sorge nel momento in cui lo script greasemonkey contiene al suo interno del codice maligno. A meno che non sia l’utente stesso in grado di capire il significato del codice che sta installando – ammesso che abbia la pazienza di visualizzarne il contenuto – nessun antivirus è in grado di verificare la genuinità degli script.

In seguito a due battute scambiate su twitter con Matteo posto qui una demo scritta al volo per rendere meglio l’idea

Questo codice js è solo una dimostrazione di come possono essere sfruttate le estensioni Firefox per eseguire operazioni illecite. La demo preleva la location e la password in chiaro dalle form di login e le inoltra all’autore dello script.

Con un po di fantasia il codice potrebbe essere annidato o offuscato in altro codice e spacciato per uno script di utilità. L’inoltro potrebbe essere eseguito silenziosamente attraverso un iframe.

Sono sempre più convinto che i prossimi trojan/keylogger ce li ritroveremo nelle estensioni per i browser.

Technorati tags: , ,

Uncategorized. URL.

2 risposte a Script maliziosi lato client. Le estensioni fanno la loro parte

  1. davidonzo scrive:

    Uno script in greasemonkey va installato manualmente. Nel senso che l’utente deve decidere di eseguire quel codice.Quanti danni riuscirà a fare uno script dopo i primi attacchi? Lo installa il primo, il secondo, il terzo… I primi restano fregati, ma in quanto tempo il web risponderà dicendo “lo script per utilità X scaricato da Y è maligno perchè fa N cose brutte”.Non dovrebbe passare troppo tempo ed in questo ci sarebbe la non avvenuta attuazione di uno dei punti fondamentali delle carogne: estendere la “contaminazione” a macchia d’olio.D’altra parte si potrebbe pensare ad un estenzione che controlla le estenzioni di greasemonkey ed avverte che nel codice è annidata una chiamata ad un server remoto (se c’è http://qualcosa.boh avverte), ne da le coordinate di controllo e fa decidere l’utente se usare comunque la cosa.Non esistono soluzioni buone al 100%, ma si possono studiare le contromisure :)

  2. Anonymous scrive:

    Questa potrebbe essere una buona soluzione : http://www.gerv.net/security/content-restrictions/