Gli attacchi cross site scripting (XSS) arrivano anche nelle applicazioni desktop. Questa la rivelazione fatta durante il Security Summit di Milano da un trio di ricercatori italiani: Emanuele Gentili, Emanuele Acri, Alessandro Scoscia.
I tre hanno presentato un paper che spiega in dettaglio l’arrivo di quello che è stato definito phishing 3.0, i nuovi pericoli che si troveranno ad affrontare gli utenti si chiamano “Cross Application Scripting” (CAS) e “Cross Application Request Forgery” (CARF). Questi due tipi di attacchi hanno molte similitudini con gli XSS che affliggono le Web application ma il loro ambito sono le applicazioni desktop.
Le vulnerabilità sono state riscontrate analizzando due toolkit molto utilizzati su Linux, ma non solo: GTK e QT.
Come spiegato nel paper:
Similmente alle interfacce Web, i moderni framework per la realizzazione di applicazioni grafiche (in questo documento si fa riferimento nello specifico GTK e QT, i più importanti frameworks multipiattaforma) permettono l’uso di tag all’interno di molti dei propri widgets.[…]
È naturale che il proliferare del numero di funzionalità, se non gestite in modo corretto e adeguato, possa rendere possibili utilizzi indesiderati della tecnologia, come la manipolazione della GUI (Graphical User Interface). Esattamente lo stesso fenomeno che si realizza con l’uso di XSS in una pagina Web. È proprio per questo motivo che abbiamo deciso di definire questo comportamento CAS (Cross Application Scripting).
Il fatto che i due toolkit siano multipiattaforma comporta che le vulnerabilità esaminate possano essere sfruttate in ambito desktop ma anche su smartphone e tablet di nuova generazione, ampliando notevolmente i potenziali bersagli.
Come spiegato nel documento di presentazione, i sistemi su cui le vulnerabilità sono state riscontrate sono i più diffusi:
Sono stati svolti con successo test su piattaforme: Microsoft Windows, Mac OS X, GNU/Linux (KDE e GNOME), *BSD e Symbian OS.
Potrebbe bastare lo scaricamento di un feed, l’ascolto di un MP3 o l’apertura di un file per incappare in un’alterazione fraudolenta dell’interfaccia grafica di un’applicazione che induca l’utente a compiere delle azioni in grado di infettare il sistema operativo. Un tipo di phishing applicativo i cui risvolti potrebbero essere davvero pericolosi se non verranno introdotti dei controlli più severi nei due toolkit esaminati.