Microsoft Edge, grave bug in SmartScreen

Un bug scoperto nel browser Edge di Windows 10 consente di modificare il messaggio mostrato da SmartScreen e di pianificare truffe ai danni degli utenti.
Microsoft Edge, grave bug in SmartScreen
Un bug scoperto nel browser Edge di Windows 10 consente di modificare il messaggio mostrato da SmartScreen e di pianificare truffe ai danni degli utenti.

Microsoft ha più volte affermato che Edge offre la massima sicurezza durante la navigazione online. Una delle funzionalità più utili è SmartScreen, presente fin da Internet Explorer 7, ma decisamente migliorata nel browser predefinito di Windows 10. Un ricercatore di sicurezza ha purtroppo scoperto che la feature può essere sfruttata per ingannare l’utente con falsi messaggi di warning.

SmartScreen svolge un ruolo simile al servizio Safe Browsing di Google usato in Chrome, Firefox, Safari e Opera. In pratica impedisce la visualizzazione delle pagine web che contengono malware e bloccano attacchi di tipo drive-by. L’utente vedrà una schermata con sfondo rosso e un messaggio che suggerisce di non aprire la pagina. La URL mostrata nella barra degli indirizzi non corrisponde ovviamente a quella del sito infetto, ma punta ad un file memorizzato nella cartella di installazione del browser. Il ricercatore di sicurezza ha scoperto che è possibile modificare facilmente il messaggio di warning.

Sono sufficienti pochi caratteri per ingannare Edge e gli utenti. Un malintenzionato può inserire nella barra degli indirizzi qualsiasi sito web (ad esempio, Google o Facebook) e un numero di telefono nel corpo del messaggio. La vulnerabilità può essere sfruttata per pianificare truffe (scam) mediante tecniche di ingegneria sociale. L’ignara vittima che telefona al finto supporto tecnico crederà di parlare con i veri Google o Facebook e comunicherà senza problemi le proprie informazioni personali o verrà costretto a pagare una somma di denaro.

Il bug non è stato ancora risolto da Microsoft. Dato che l’azienda di Redmond ha ignorato diverse sue segnalazioni in passato, stavolta il ricercatore ha deciso di non contattare Microsoft, ma di rendere pubblico il problema.

Ti consigliamo anche

Link copiato negli appunti