HTML5: un nuovo alleato dei malware?

Secondo una ricerca tutta italiana (ma scritta in Inglese) intitolata “Using HTML5 to Prevent Detection of Drive-by-Download Web Malware” e condotta da un team di ricercatori del Dipartimento di Informatica dell’Università di Salerno in collaborazione con il Dipartimento di Scienze Statistiche dell’Università di Roma “La Sapienza”, HTML5 potrebbe rappresentare un nuovo veicolo per la moltiplicazione e la diffusione di malware attraverso pagine Internet e Web applications.

In sostanza gli studiosi avrebbero evidenziato l’esistenza di nuove metodologie per l’offuscamento delle minacce telematiche che potrebbero essere adottate al fine di bypassare l’azione dei sistemi per la malware detection; in presenza di determinate condizioni ciò permetterebbe ad utenti malintenzionati di condurre con un certo successo tentativi di attacco veicolati attraverso comuni azioni di navigazione come per esempio il download di file.

Nello specifico le tecniche individuate prenderebbero spunto da alcune nuove funzionalità introdotte da HTML5 e sarebbero adottabili facendo leva sulle non poche interfacce per la programmazione basate su JavaScript; le procedure di attacco prevedrebbero quindi pochi passaggi che vanno dall’offuscamento di un malware, diviso in più parti e archiviato lato server, al suo scaricamento nel terminale dell’utente coinvolto fino alla fase di esecuzione vera e propria con conseguente infezione.

A larghe linee sembrerebbe di trovarsi davanti ad una classico attacco dove una minaccia viene disassemblata per poi ritrovare coerenza prima di entrare in funzione, questa volta però il ruolo delle API per HTML5 introdurrebbe un elemento di novità impedendo non soltanto il rilevamento del malware, ma limitando anche le possibilità di individuare il pattern impiegato come schema per il riassemblaggio delle “porzioni” che, prese singolarmente, risulterebbero apparentemente innocue.

Dato che fino ad ora le misure di sicurezza adottate sembrerebbero non prevedere alcuni dei casi in cui la preparazione di malware potrebbe essere delegata ad interfacce concepite per fini non malevoli, la sfida futura dovrebbe essere proprio quella di creare soluzioni per la prevenzione di questo genere di attacchi. Anche perché, paradossalmente, una tecnologia come quella alla base del Flash Player, dopo una vera e propria diaspora dall’ecosistema mobile, sarebbe in procinto di terminare il suo ciclo di vita proprio perché HTML5 verrebbe ritenuto in linea generale più sicuro.

Via arXiv