Komponentit

Valokuva, joka voi varastaa Facebook-tilisi

SCP Foundation Tales: Dr. Robinson's Statement - SCP-1981 story

SCP Foundation Tales: Dr. Robinson's Statement - SCP-1981 story
Anonim

Las Vegasissa seuraavan viikon Black Hat -tietokonekonferenssissa tutkijat näyttävät kehittäneitä ohjelmistoja, jotka voivat varastaa online-tunnistetietoja suosituimpien verkkosivustojen, kuten Facebookin, eBayin ja Googlen käyttäjiltä.

Hyökkäys perustuu uudenlaiseen hybriditiedostoon, joka näyttää eri asioilta eri ohjelmille. Sijoittamalla nämä tiedostot Web-sivustoihin, joiden avulla käyttäjät voivat ladata omia kuvia, tutkijat voivat kiertää turvajärjestelmiä ja ottaa haltuunsa web-surffaajien tilit, jotka käyttävät näitä sivustoja.

"Olemme pystyneet kehittämään Java appletti, joka on kaiken tarkoituksen kannalta kuva ", sanoi NGS Softwarein varatoimitusjohtaja John Heasman.

He kutsuvat tämäntyyppistä tiedostoa GIFARin, GIF: n (grafiikan vaihtoformaatin) ja JAR: n (Java Archive), kaksi tiedostotyyppiä, jotka ovat sekoitettuja. Black Hatissa tutkijat näyttävät osallistujille, kuinka luoda GIFAR, mutta jättää muutamia tärkeitä yksityiskohtia estääkseen sen käytön välittömästi mihinkään laajaan hyökkäykseen.

Web-palvelimelle tiedosto näyttää täsmälleen kuin.gif-tiedosto, mutta selaimen Java-virtuaalikone avataan Java Archive -tiedostona ja suorittaa sen sitten applettina. Tämä antaa hyökkääjälle mahdollisuuden käyttää Java-koodia uhrin selaimessa. Selaimesi käsittelee tätä haitallista appletia ikään kuin sen kirjoitti Web-sivuston kehittäjät.

Näin hyökkäys toimii: roistoista luodaan profiili yhdelle näistä suosituimmista WWW-sivustoista - Facebook esimerkiksi - ja lataa GIFARinsa kuvana sivustossa. Sitten he uhkasivat uhrin käymään haittaohjelmassa, mikä kertoisi uhrin selaimelle avaavan GIFARin. Tällöin appletti ajetaan selaimessa, jolloin roistoilla on mahdollisuus käyttää uhrin Facebook-tiliä.

Hyökkäys voisi toimia millä tahansa sivustolla, jonka avulla käyttäjät voivat ladata tiedostoja, mahdollisesti jopa sellaisilla verkkosivustoilla, pankkikorttikuvista tai jopa Amazon.comista, sanovat.

Koska Java avaa GIFARit, ne voidaan avata useissa selaimissa.

On kuitenkin yksi saalis. Uhrin pitäisi olla kirjautuneena verkkosivustolle, joka isännöi kuvaa hyökkäyksestä töihin. "Hyökkäys toimii parhaiten, kun jätät itsesi kirjautuneena pitkään aikaan", Heasman sanoi.

GIFAR-hyökkäys voi olla estetty muutamilla tavoilla. Web-sivustot voisivat tehostaa suodatustyökalujaan, jotta he voisivat havaita hybriditiedostot. Vaihtoehtoisesti Sun voisi kiristää Java-käyttöympäristöä estääkseen sen tapahtumasta. Tutkijat odottavat Sunin saavan korjauksen jo kauan Black Hat -puheensa jälkeen.

Mutta tutkijat sanovat, että vaikka Java-korjaus voi poistaa tämän hyökkäysvektorin käytöstä, laittomien Web-sovellusten laittoman sisällön ongelma on paljon suurempi ja tiheämpi asia. "Muilla keinoilla voidaan tehdä tätä, muiden tekniikoiden kanssa", sanoo GIFAR-kehittäjä Nathan McFeters, tutkija Ernst & Youngin Advanced Security Centerin kanssa.

"Pitkällä tähtäimellä web-sovellukset joutuvat hallitsemaan sisältöä ", McFeters sanoi. "Se on Web-sovellusongelma. Java-hyökkäys, jota käytämme tällä hetkellä on vain yksi vektori."

Hän ja hänen kollegamme Black Hat -esittelijät ovat ottaneet puheen puheeksi Internet on rikki.

Selaimen päättäjät tehdä joitain perusteellisia muutoksia myös ohjelmistoihinsa, kertoi White Hat Securityn teknologiajohtaja Jeremiah Grossman. "Ei ole, että internet on rikki", hän sanoi. "Selaimen tietoturva on rikki. Selainvarmuus on todella oksimoroni."