5 de gener de 2008

Error en els diàlegs d'autentificació

Fa uns dies, el hacker israelià Aviv Raff va descobrir un error (bug) en els diàlegs d'autentificació del Firefox.

El problema és que amb aquests no es pot apreciar fàcil i clarament quin és el servidor que llança el diàleg d'autentificació.

Així, per exemple, nosaltres estaríem a una pàgina web maliciosa que ens donaria un enllaç cap a PayPal, per exemple, perquè els féssim un donatiu. Al obrir la pàgina del PayPal ens apareixeria una finestra emergent amb el diàleg d'autentificació, en el qual hauríem de posar les dades. Aquest diàleg seria el maliciós i s'hauria carregat gràcies a un script. Per tant les dades que haguéssim introduït s'enviarien a un servidor extern, segurament amb finalitats malicioses. Com que és molt usual que no llegim on enviem les dades, hauríem caigut de ple.

Raff, el hacker, ha publicat un vídeo al YouTube on es mostra com s'explota aquesta vulnerabilitat: l'usuari entra a la pàgina web de Google Checkout (la veritable) a través d'un enllaç d'una altra pàgina però li surt un diàleg d'autentificació fals que dirigeix les dades que introdueix l'usuari a un servidor maliciós.

A Kriptópolis han publicat unes imatges molt explicatives. El Firefox mostra les dades així:
Per tant és força difícil veure quin servidor (en aquesta cas www.kriptopolis.com) llança el diàleg.

En canvi, l'Internet Explorer 7 i l'Opera ho fan així:
En aquest dos casos és molt més fàcil identificar quin servidor és, i per tant més difícil caure en la trampa.

Les versions 2.0.0.11 i 3.0b2 del Firefox estan afectades per aquest bug, també, segurament, totes les altres versions.

De moment no hi ha cap sol·lució. Algunes eines contra la pesca electrònica (anti-phishing) ens poden ajudar, però no totes i no en tots els casos. El mateix Raff ens suggereix que no donem cap dada a pàgines web que facin servir el mètode de diàlegs d'autentificació (en realitat són molt poques). Si no podem evitar això, personalment llegiria dues vegades qualsevol diàleg d'autentificació que hagués d'omplir (això sempre s'ha de fer).

Ahir Window Snyder ja va publicar un anunci al bloc de seguretat de Mozilla parlant de l'error, que ja s'ha afegit al BugZilla, però amb una valoració de risc baixa. No obstant, sabent com si ha esforçat Mozilla en sol·luciona problemes de phishing en les darreres versions del Firefox, estic segur que ho arreglaran d'aquí a poc.

En realitat, utilitzant els altres navegadors no estem totalment segurs, ja que també es pot mostrar un diàleg d'autentificació fals, però com a mínim ells mostren clarament cap a qui anirà la informació, com ja hem mostrat.

"Yet another Dialog Spoofing" i "Firefox Dialog Spoofing - FAQ" - Aviv Raff On .NET
"BasicAuth dialog realm value spoofing" - Mozilla Security Blog
BUGZILLA: Bug 244273
VEGEU TAMBÉ:
"Falsificación de cuadros de diálogo en Firefox" - Kriptópolis
"Aclaración sobre la supuesta vulnerabilidad de Firefox 2.0.0.11"- Mozilla Hispano
Actualitzat (21:30 - 05/01/07): Actualitzat amb les últimes notícies. També canviem "vulnerabilitat" per "error", ja que s'ha de considerar com a tal.
Actualitzat (14:30 - 07/01/07): Afegeixo les imatges de Kriptópolis que són més explicatives. A més a més afegeixo més informació als enllaços. I reescric l'entrada.

Cap comentari:

Publica un comentari a l'entrada