Adoben pyynnöstä hakkerit Nix clickjacking Talk

Kun Adobe Systems pyysi heitä hiljentämään havaintojaan, kaksi tietoturva-tutkijaa ovat vedonneet tekniseen keskusteluun, jossa he aikoivat osoittaa, kuinka he voisivat hyödyntää uhrin selaimen hallintaa käyttäen online-hyökkäystä nimeltä clickjacking. "

Robert Hansen ja Jeremiah Grossman oli asetettu toimittamaan keskustelunsa ensi viikolla OWASP (Open Web Application Security Project) -konferenssissa New Yorkissa. Mutta todiste konseptikoodista, jonka he olivat kehittäneet osoittaakseen, miten heidän napsautuksen hyökkäyksensä toimivat, paljastivat virheen yhdellä Adoben tuotteista. Viikon keskusteluja Adoben kanssa tutkijat päättivät viime perjantaina vetämään keskustelun.

Vaikka Hansen ja Grossman uskovat, että klikkausongelma on viime kädessä siinä, miten Internet-selaimet on suunniteltu, Adobe on vakuuttanut heidät pitämään keskustelunsa kunnes he voisivat vapauttaa laastarin. "Adobe uskoo voivansa tehdä jotain tekemään hakata kovempaa", sanoi haastattelussa Grossman, CTO White Hat Securityn kanssa.

Klikkauksen hyökkäyksessä hyökkääjä kamppailee uhriin klikkaamalla haitallisia Web-linkkejä ymmärtämättä sitä. Tällainen hyökkäys on ollut tiedossa jo vuosia, mutta sitä ei ole pidetty erityisen vaarallisena. Turvallisuusasiantuntijat olivat ajatelleet, että sitä voitaisiin käyttää mainospalautusten tekemiseen tai esimerkiksi Digg-luokitusten täyttämiseen esimerkiksi Web-sivulle.

Hansen ja Grossman kuitenkin kirjasivat konekielisen koodinsa kirjallisesti, että napsauttaminen oli itse asiassa enemmän vakavampi kuin mitä he ensin ajattelivat.

"Kun lopulta rakensimme sen ja saimme käsityksen konseptista, se oli melko ikävää", sanoi Grossman. "Jos hallitsen, mitä napsautat, kuinka paljon huonoa voin tehdä? Tuloksena on, että voit tehdä monia todella, todella huonoja asioita."

Konsulttiyrityksen Secmasteroryn Grossman eikä Hansen eivät halunneet saada yksityiskohtia heidän hyökkäyksestään. Kuitenkin OWASP: n konferenssin järjestäjä Tom Brennan sanoi, että hän on nähnyt hyökkäyskoodin näytetyn ja sallinut hyökkääjän ottaa täysin hallintaan uhrin työpöydälle.

Tutkijat sanovat, että Adobe ei painostanut heitä pudottamaan puheitaan. "Tämä ei ole paha", joka yrittää pitää meidät hakkereita alas ", Hansen kirjoitti maanantaina blogissaan.

Myöhässä maanantaina Adobe julkaisi muistion, kiittää tutkijoita pitämästä virheen yksityiseltä ja osoittaen, että yritys on parhaillaan ongelman korjaamisessa.

Vaikka virheestä paljastuminen voi auttaa hyökkääjiä, OWASP: n Brennanin mukaan tutkijoiden on vielä lähdettävä eteenpäin ja puhua, jotta tietotekniikan ammattilaisille annetaan mahdollisuus ymmärtää uhrin todellinen luonne. "Selaimissa on nollapäiväinen ongelma, joka vaikuttaa nykyään miljooniin ihmisiin", hän sanoi. "Kun henkilö käsittelee sitä, se asettaa kaikille samanlaiselle pelikentälle."

Hansen ja Grossman sanovat, että he myös odottavat Microsoftin korjaavan asiaan liittyvän vian Internet Explorerissa ja että monet muut selaimet vaikuttavat myös klikkausongelmaan. "Uskomme, että se on enemmän tai vähemmän selaimen tietoturvaongelma", Grossman sanoi.