Un team di ricercatori dell’Università di Wisconsin-Madison ha caricato un proof-of-concept di estensioni, dedicate a Chrome, sul web store del browser di Google, in grado di rubare password memorizzate in chiaro da un codice sorgente del sito. Password, dunque, a rischio furto.
“In un’era digitale in cui la sicurezza online è diventata una priorità di primo piano”, commenta Pierguido Iezzi, Ceo di Swascan, “questo recente report solleva questioni profonde e fondamentali riguardo alle responsabilità delle piattaforme online, in particolare dei portali che offrono estensioni, delle piattaforme social e degli store ufficiali di applicazioni come l’App Store e l’Android Store”.
Ecco come mitigare il rischio su alcuni portali di Google e Cloudflare.
Indice degli argomenti
Estensioni di Chrome: password a rischio furto
Un’esame dei campi dell’input di testo nei browser ha rivelato che il modello di autorizzazione coarse-grained, su cui si basano le estensioni di Chrome, viola i principi del privilegio minimo e della complete mediation. Il concetto dei principi del privilegio minimo si riferisce alla sicurezza delle informazioni in base a cui vengono concessi i livelli (o permessi) minimi di accesso a un utente a cui servono per svolgere le proprie mansioni.
“La scoperta che un’estensione ‘proof-of-concept’ (creata con un’AI generativa stile GPT, ndr), capace di sottrarre password in chiaro, possa superare le misure di controllo del Chrome Web Store”, continua Iezzi, “è solo la punta dell’iceberg”.
Infatti è “impensabile che nel 2023 ci siano ancora dei siti Web, ed alcuni anche con milioni di visitatori al giorno, che memorizzino le password in chiaro all’interno dell’HTML dom”, evidenzia Fabrizio Rendina, Head of SOC presso Swascan.
“Se a questo aggiungiamo la possibilità, tramite una semplice estensione del browser, di poter leggere tale password, il danno è fatto”.
Le estensioni possono abusare del DOM API per estrarre direttamente il valore degli input appena immessi dagli utenti, bypassando ed offuscando applicazioni dei siti per proteggere informazioni sensibili come le password.
Come proteggersi da estensioni Chrome e “blindare” le password
Il consiglio è sempre quello di non ampliare il perimetro d’attacco. Dunque bisogna evitare di scaricare app o estensioni inutili per Chrome: il rischio è il furto delle password. E comunque il download deve avvenire solo su marketplace ufficiali.
“Quando consigliamo agli utenti di scaricare app o estensioni solo da portali ‘ufficiali’ o ‘verificati'”, mette in guardia Iezzi, “implicitamente stiamo riponendo la nostra fiducia in tali portali. Tuttavia, se questi, inclusi gli store ufficiali di applicazioni, non adottano procedure rigorose di verifica e analisi delle potenziali minacce, la fiducia che vi riponiamo viene meno”.
Dinamica simile nei social media
“Una dinamica simile si osserva nei social network. Piattaforme come Facebook o LinkedIn ospitano quotidianamente milioni di link e contenuti. Sebbene gli utenti siano in prima linea nella gestione dei rischi, è innegabile che la piattaforma stessa dovrebbe svolgere un ruolo più attivo nel garantire la sicurezza. Rimandare unicamente all’utente la responsabilità di distinguere tra un link sicuro e uno potenzialmente dannoso ha conseguenze negative per gli utenti in primis, ma anche per il provider stesso del servizio”.
Esiste, dunque, una linea di demarcazione tra la responsabilità dell’utente e quella della piattaforma. “Le piattaforme”, continua Iezzi, “essendo l’intermediario tra contenuto e consumatore, hanno il dovere non solo di offrire strumenti di sicurezza, ma anche di garantire che i contenuti che facilitano siano sicuri per i loro utenti. Se si presuppone che una piattaforma sia un luogo sicuro e verificato per ottenere contenuti, essa ha la responsabilità di rispettare quella presunzione. In sintesi, la sicurezza online non può e non dovrebbe essere considerata esclusivamente come un onere dell’utente. Se le piattaforme digitali desiderano mantenere la fiducia del loro pubblico, è fondamentale che adottino un approccio proattivo e responsabile nella gestione e verifica dei contenuti che ospitano. Ne va anche del valore stesso del servizio da loro offerto”.
“La fiducia, in un mondo sempre più interconnesso”, conclude Iezzi, “è una moneta preziosa. Ma non può essere l’unico baluardo contro le minacce. La fiducia non basta se non viene regolamentata e sostenuta da leggi e regolamenti chiari che pongano le piattaforme direttamente davanti alle loro responsabilità”.
Autenticazione a due fattori
Un utente può difendersi, adottando l’autenticazione a due fattori. Infatti il “2FA permette di rendere inutilizzabile la password eventualmente trafugata. Inoltre”, ricorda Fabrizio Rendina, occorre prestare “massima attenzione nell’installare estensioni del browser, controllando attentamente prima le autorizzazioni richieste e diffidando da quelle che richiedano privilegi non necessari”.
