In un post di pochi giorni fa, Chris Sullo, degli HP Security Labs, ha messo in evidenza un fatto piuttosto sconcertante. Mentre con il suo browser Firefox 3 si accingeva a scaricare la nuova versione 2.0 di Google Chrome, si è reso conto che dopo aver cliccato sul bottone di accettazione licenza, il software si è automaticamente scaricato, eseguito ed installato sul suo PC senza nessun prompt o domanda!
Probabilmente molti di voi non ci vedono nulla di male o di strano, potreste addirittura considerarlo “comodo”, ma un comportamento simile nasconde insidie significative per la sicurezza del proprio computer.
I drive-by dowloads, ovvero i downlaod (di solito malevoli) che avvengono senza il consenso dell’utente, sono uno dei metodi preferiti dal malware per diffondersi, come abbiamo visto un paio di settimane fa nel caso della botnet Torpig.
Prima di scrivere questo post ho voluto verificare di persona questo insano comportamento sulla mia macchina virtuale con Vista e mi duole doverlo confermare a mia volta.
D’altro canto, per fortuna, questo non è il comportamento che Firefox è solito avere di fronte al download di un eseguibile, anzi, fa tutto il possibile per avere il comportamento opposto. E allora che cos’è successo questa volta?
Girovagando per il sorgente della pagina web e per il browser in cerca di una spiegazione, Sullo si è resto conto che tra i propri add-on di Firefox compariva un certo “Microsoft .NET Framework Assistant” che abilitava la funzionalità di Microsoft ClickOnce su Firefox.
Dopo un altro po’ di ricerche è risultato come esso sia stato aggiunto in maniera silente durante l’installazione del .NET Framework 3.5 SP1 (uscito verso fine 2008). Si badi bene all’enfasi su in maniera silente.
A peggiorare la situazione sono le impostazioni di default dell’add-on che permettono ai siti web di far partire, appunto, un installer senza mostrare prima un prompt di qualche tipo.
Le applicazioni ClickOnce sono per certi versi simili a quelle Java. Per installarne una non servono i privilegi di amministratore, perciò anche il loro spazio per eventuali azioni malevoli di solito non è amplissimo.
Ciò non toglie che, anche con bassi privilegi, possano essere effettuate diverse azioni contro la sicurezza del proprio sistema (furto di dati riservati e credenziali, tanto per dire) e che, come la VM Java ha delle vulnerabilità, anche il .NET Framework possa averne.
È quindi naturale pretendere da Microsoft un atteggiamento più trasparente.
Un’altra funzione, meno grave ma comunque fastidiosa, è quella di informare ogni sito web che si visita della versione di .NET installata sul proprio sistema grazie al parametro User-Agent degli header HTTP. Per me, vale sempre la regola che meno informazioni si danno sul proprio sistema e meglio è.
È un po’ come quei siti web che mettono in bella vista “This site is powered by Apache 2.2.x”: grazie, così se ti devo attaccare (per lavoro, ovviamente) so già quali exploit usare e quali no.
Beh, direte voi, ora che lo so magari lo tolgo di mezzo questo maledetto add-on, no? Non è così semplice, infatti, come spiega Brad Abrams, sviluppatore Microsoft, sul suo blog: “abbiamo aggiunto questo supporto a livello macchina al fine di abilitare questa funzionalità per tutti gli utenti del sistema. Sembra ragionevole no? Beh, attivarlo a livello macchina invece che a livello utente ha comportato che il bottone “Disinistalla” è disabilitato nel menu degli add-on di Firefox perché gli utenti standard non sono abilitati a disinstallare componenti a livello macchina.”
Nei commenti del post di può leggere il malcontento di molti utenti per questo add-on, e anche altri esperti di sicurezza hanno recentemente espresso la loro disapprovazione.
Come anche Sullo fa notare, infatti, non c’è niente di ragionevole in questa scelta. Microsoft avrebbe dovuto pubblicare l’add-on sull’apposito sito di Mozilla come chiunque altro, e non modificare in maniera silente il principale browser rivale riducendone la sua sicurezza.
Per disinstallare completamente l’estensione bisogna eseguire i passi descritti nel post di Abrams, tra cui l’editing del registro di sistema e delle configurazioni di Firefox.
Questa almeno era la procedura d’obbligo fino ad inizio maggio. Dopo mesi di lamentele, Microsoft ha infatti da poco rilasciato un update per .NET Framework 3.5 SP1 che permette di disinstallare l’add-on molto più semplicemente.
Questa notizia dà anche l’opportunità di ricordare l’importanza di controllare periodicamente e con attenzione le estensioni di Firefox (ma non solo) attive sul proprio sistema in quanto possibili vettori di molteplici problemi.
Le estensioni malevoli sono un problema già ben noto e piuttosto insidioso per gli utenti meno smaliziati, ma non solo per loro, come abbiamo visto.