“Line of Death”: sicurezza dell’UI nei browser moderni

“Line of Death”, traducibile come “linea della morte”, è la definizione che ha utilizzato lo sviluppatore Chrome Eric Lawrence per descrivere la barriera concettuale tra i contenuti sicuri ed insicuri nell’interfaccia di un browser. Il problema principale evidenziato da Lawrence è che, con il passare degli anni, i browser sembrano sempre più orientarsi su soluzioni che riducono ulteriormente l’area dell’UI classificabile come sicura (solitamente la barra degli indirizzi e le eventuali icone del browser alla sua sinistra e/o destra). Vediamo meglio perchè.

“Se un utente si fida dei pixel che si trovano sopra la linea della morte, l’idea generale è [che tutto andrà bene]; ma se [sono convinti in qualche modo] a fidarsi dei pixel al di sotto della linea…” esordisce lo sviluppatore. Il trend generale non è incoraggiante, prosegue, ricordando come diversi elementi manipolabili siano riusciti a superare la linea di sicurezza, ad esempio alcune finestre nelle quali è possibile indicare a piacimento titolo e l’icona da utilizzare. O ancora i simboli (legati all’utilizzo di HTTPS) riportati nella barra del browser in grado di aprire delle finestre informative che superano il confine, come mostrato nella seguente immagine:

Line of death ed UI: sicurezza nei browser

Da notare come in entrambi gli esempi la piccola finestra di notifica superi la linea di sicurezza

Le finestre di notifica aprono “nuovi orizzonti”, in senso negativo, a tutti i malintenzionati perchè facilmente falsificabili con elementi malevoli. Stesso discorso vale per i bottoni “Consenti” e “Blocca” che possono prestarsi agli scopi più disparati.

Una linea valicabile

La linea di confine, spiega Lawrence, ha subito diverse “incursioni” nel corso degli anni. Nel 2005 venne ad esempio scoperta in Firefox una vulnerabilità (naturalmente patchata) in grado di trasformare le innocue favicon (le icone che rappresentano un portale nella barra degli indirizzi e nei segnalibri) in uno strumento per l’esecuzione di codice da remoto.

Nel 2012, prosegue lo sviluppatore, lo scenario si è ulteriormente aggravato. Lawrence, ai tempi a capo del progetto Internet Explorer 8 (oggi rimpiazzato ormai da Edge), ricorda l’introduzione della modalità a tutto schermo (full screen immersive mode) e di come si oppose, inutilmente, alla sua implementazione. La “novità” voluta da Microsoft rendeva infatti la linea di demarcazione indistinguibile dai contenuti.

La filosofia dietro allo sviluppo di IE8, aggiunge, rendeva all’atto pratico ogni pixel della schermata insicuro. Per limitare i danni ed aiutare gli utenti a distinguere la linea di confine, Lawrence propose l’impiego di un badge permanente in basso a destra (trust badge) ma non venne ascoltato. La pericolosità dell’immersive mode fu dimostrata da uno stesso sviluppatore Microsoft che, senza troppi problemi, realizzò una schermata “fake” di accesso ai servizi PayPal indistinguibile dall’originale: “era una cosa terrificante, resa meno grave dalla speranza che nessuno avrebbe utilizzato la nuova modalità immersiva.”

Picture-in-picture attack ed HTML5

HTML5, la fine della linea di demarcazione?

Una pagina “fake” in HTML5. La linea di demarcazione è scomparsa

Il cosiddetto espediente dell’immagine nell’immagine è una tecnica utilizzata da più di un decennio. Lo scopo dei malintenzionati è quello di ingannare il visitatore di turno lanciando una finestra a tutto schermo che si sostituisce alla pagina “reale” del browser. La finestra, perfettamente identica al browser, può ingannare facilmente anche gli internauti più prudenti, soprattutto se si utilizza la modalità a schermo intero.

Nel 2007 uno studio condotto dagli esperti di sicurezza Microsoft accertò la pericolosità degli attacchi picture-in-picture posizionandole al vertice della classifica delle tecniche di phishing. Persino insidiose tecniche che ricorrono all’omografia nei domini, un indirizzo “lecito” clonato nel quale però alcune lettere sono rese con caratteri provenienti da altri alfabeti (es: greco, omicron è indistinguibile da una classica o del nostro alfabeto), non riuscirono ad eguagliarne l’efficacia. La ricerca creò particolare allarme nel quartier generale di un vendor degli allora nuovi certificati SSL con extended validation, in quanto le finestre fake rendevano sostanzialmente vano il loro impiego.

Un problema che attualmente sussiste, soprattutto a causa dell’avvento di HTML5, osserva Lawrence, che offre la possibilità di forzare la modalità tutto schermo in siti e blog. Una vera “manna dal cielo”, commenta criticamente, per tutti i phishers che circolano sul Web.

Ed in ambito mobile la situazione è ancora più critica. L’affermazione di interfacce minimali e semplici avvantaggia notevolmente i malintenzionati: “in ambito mobile abbiamo assistito ad un aumento dei clic su link di phishing perchè è un contesto nel quale è molto più difficile “individuare” le necessarie informazione [visive].”

“E’ difficile mettere al sicuro l’interfaccia” conclude lo sviluppatore.

 Fonte