Risolto: Il browser acquisisce dati utenti login servizi online (keylogger), inclusa password, senza autorizzazione utente.

Members_nbX7QWW · ‎30-09-2023

1) Versione OS: Samsung Internet 22.06.09
2) Tipo di accesso: smartphone galaxy a14, connessione solo dati via sim (no wi-fi)
3) Descrizione dell'errore: Il browser acquisisce dati utenti login servizi online (keylogger), inclusa password, senza autorizzazione utente. L'effetto è che nonostante le tab del browser vengano chiuse, il browser chiuso ed dispositivo spento, è possibile accedere a servizi internet con login, come ad esempio email, senza immettere nuovamente dati account utente e password al successivo riavvio del browser o del dispositivo. La funzionalità predittiva della tastiera è disabilitata. Il workaround per risolvere tale vulnerabilità di sicurezza (keylogger) è la chiusura di tutte le tab del browser, la cancellazione dei dati personali di navigazione e la cancellazione della memoria della tastiera samsung (e la disabilitazione della funziomalità predittiva che si abilita automaticamente dopo la cancellazione della memoria della tastiera samsung). Occorre immediata patch di sicurezza.

Members_nbX7QWW · ‎01-10-2023

È probabilmente un problema di sicurezza legato ai cookie, in particolare all'expiration date ed alla chiusura sessione. Ovviamente non mi sbilancio di più. Preferisco che sia il team di Samsung ad esprimersi avendo fatto la segnalazione. Ma non si tratta di una cosa da poco. I cookie possono essere importati (ed usati/sfruttati da malintenzionati) come il resto dei dati personali di navigazione, che come avevo già suggerito occorre cancellare (di conseguenza anche i cookie).

Confermo che la deselezione delle impostazioni predefinite sui cookie del programma Samsung Internet 22.06.09, non risolve l'anomalia. Lo stesso Firefox 118.1.0 (Build #2015976739) per eseguire l'impostazione opt-in di cancellazione dei dati di navigazione personali alla chiusura del browser pretende che lo stesso venga chiuso dall'opzione "esci" del suo menù principale e non attraverso i meri tasti Home di Android ("chiudi tutto" o la chiusura ad hoc dei singoli programmi). Una valida alternativa è la scorciatoia in modalità anonima delle impostazioni di firefox. In ogni caso penso di aver scoperto finalmente il vettore che crea problemi a Samsung Internet 22.06.09 ed altri browser. È la mera visita di un noto sito e-commerce (persino senza loggarsi) in grado di disabilitare anche l'efficacia dell'opzione opt-in di firefox "elimina i dati di navigazione all'uscita" al riavvio del browser, mantenendo dopo la chiusura del browser ed al riavvio della connessione le sessioni aperte dei servizi on line, persino di quelle che prevedono il login come le email. Il workaround è la cancellazione manuale dei dati di navigazione personale. Il paradosso è che quando andrete a cancellare i dati di navigazione personale verranno conteggiati "zero" cookie (cosa poco plausibile e non verificabile attraverso una mera analisi a caldo). In ogni caso con la cancellazione dei dati personali manuale l'opzione opt-in di firefox "elimina i dati di navigazione all'uscita" tornerà ad essere efficace, ed ovviamente con la successiva chiusura del browser (non occorre la chiusura manuale della connessione internet), chiuderà automaticamente tutte le sessioni aperte dei servizi on line, comprese quelle che prevedono il login come le email. Se tale vulnerabilità consenta di agganciare (hooking) il browser per immagazzinare informazioni (compresi dati sensibili e password) ed importarle (cookie theft attack) e se il sito in questione si comporti da sito civetta è da verificare (non è possibile farlo con un'analisi a caldo). È chiaro però che tale anomalia potrebbe compromettere l'isolamento dei browser. Per quel che mi riguarda la discussione può dirsi chiusa e passerò le informazioni al team di Samsung e Firefox (sviluppatori a monte e maintainer).

Visualizza soluzione nel messaggio originale

emanuel70 · ‎30-09-2023

e un bug sul browser non é una falla di sicurezza dunque prova cambiare browser se non ti trovi bene ciao

Wroom · ‎30-09-2023

Utilizza firefox

Nel caso prova a cancellare i cookies del browser samsung

Members_nbX7QWW · ‎01-10-2023

È probabilmente un problema di sicurezza legato ai cookie, in particolare all'expiration date ed alla chiusura sessione. Ovviamente non mi sbilancio di più. Preferisco che sia il team di Samsung ad esprimersi avendo fatto la segnalazione. Ma non si tratta di una cosa da poco. I cookie possono essere importati (ed usati/sfruttati da malintenzionati) come il resto dei dati personali di navigazione, che come avevo già suggerito occorre cancellare (di conseguenza anche i cookie).

Confermo che la deselezione delle impostazioni predefinite sui cookie del programma Samsung Internet 22.06.09, non risolve l'anomalia. Lo stesso Firefox 118.1.0 (Build #2015976739) per eseguire l'impostazione opt-in di cancellazione dei dati di navigazione personali alla chiusura del browser pretende che lo stesso venga chiuso dall'opzione "esci" del suo menù principale e non attraverso i meri tasti Home di Android ("chiudi tutto" o la chiusura ad hoc dei singoli programmi). Una valida alternativa è la scorciatoia in modalità anonima delle impostazioni di firefox. In ogni caso penso di aver scoperto finalmente il vettore che crea problemi a Samsung Internet 22.06.09 ed altri browser. È la mera visita di un noto sito e-commerce (persino senza loggarsi) in grado di disabilitare anche l'efficacia dell'opzione opt-in di firefox "elimina i dati di navigazione all'uscita" al riavvio del browser, mantenendo dopo la chiusura del browser ed al riavvio della connessione le sessioni aperte dei servizi on line, persino di quelle che prevedono il login come le email. Il workaround è la cancellazione manuale dei dati di navigazione personale. Il paradosso è che quando andrete a cancellare i dati di navigazione personale verranno conteggiati "zero" cookie (cosa poco plausibile e non verificabile attraverso una mera analisi a caldo). In ogni caso con la cancellazione dei dati personali manuale l'opzione opt-in di firefox "elimina i dati di navigazione all'uscita" tornerà ad essere efficace, ed ovviamente con la successiva chiusura del browser (non occorre la chiusura manuale della connessione internet), chiuderà automaticamente tutte le sessioni aperte dei servizi on line, comprese quelle che prevedono il login come le email. Se tale vulnerabilità consenta di agganciare (hooking) il browser per immagazzinare informazioni (compresi dati sensibili e password) ed importarle (cookie theft attack) e se il sito in questione si comporti da sito civetta è da verificare (non è possibile farlo con un'analisi a caldo). È chiaro però che tale anomalia potrebbe compromettere l'isolamento dei browser. Per quel che mi riguarda la discussione può dirsi chiusa e passerò le informazioni al team di Samsung e Firefox (sviluppatori a monte e maintainer).

CatsInTheCradle · ‎01-10-2023

Non è un bug, non è un malfunzionamento.
Quando ti autentichi in un sito, tutti browser creano un coockie con il token di sessione che ha una certa validità temporale, scaduta la quale, il sito ti chiede di nuovo le credenziali. Se non vuoi questo comportamento, o fai logout dal sito oppure pulisci la cache internet del browser.
Opuure, altra soluzione, usi la modalità incognito del browser.

Prima di gridare al lupo, il lupo bisogna conoscerlo..

Il browser acquisisce dati utenti login servizi online (keylogger), inclusa password, senza autorizzazione utente.

1 Soluzione