Click Jacking (step by step explained)
Nadat Adobe Systems hen had gevraagd om stil te blijven over hun bevindingen, hebben twee beveiligingsonderzoekers zich teruggetrokken uit een technisch gesprek waarin ze wilden laten zien hoe ze de controle over de browser van een slachtoffer konden overnemen met een online aanval genaamd 'clickjacking'. '
Robert Hansen en Jeremiah Grossman waren klaar om hun toespraak volgende week af te leveren op de OWASP-conferentie (Open Web Application Security Project) in New York. Maar de proof-of-conceptcode die ze hadden ontwikkeld om te laten zien hoe hun clickjacking-aanval werkte, onthulde een fout in een van Adobe's producten. Na een week discussiëren met Adobe, besloten de onderzoekers afgelopen vrijdag om het gesprek aan te gaan.
Hoewel Hansen en Grossman geloven dat de clickjacking-fout uiteindelijk ligt in de manier waarop internetbrowsers zijn ontworpen, overtuigde Adobe hen ervan hun discussie te staken. totdat ze een patch konden vrijgeven. "Adobe denkt dat ze iets kunnen doen om de hack moeilijker te maken," zei Grossman, CTO bij White Hat Security, in een interview.
Bij een clickjacking-aanval misleidt de aanvaller het slachtoffer in het klikken op schadelijke internetlinks zonder het te beseffen. Dit type aanval is al jaren bekend, maar werd niet als bijzonder gevaarlijk beschouwd. Beveiligingsexperts dachten dat het gebruikt zou kunnen worden om clickfraude te plegen of bijvoorbeeld Digg-beoordelingen voor een webpagina op te blazen.
Hansen en Grossman hadden echter met hun proof-of-conceptcode ontdekt dat clickjacking eigenlijk meer was serieus dan ze eerst hadden gedacht.
"Toen we het eindelijk bouwden en het proof of concept kregen, was het nogal smerig," zei Grossman. "Als ik zeg waar je op klikt, hoeveel erg kan ik dan doen? Het blijkt dat je een aantal echt heel slechte dingen kunt doen."
Noch Grossman noch Hansen, CEO van consultancy SecTheory, wilden in details treden van hun aanval. Tom Brennan, de organisator van de OWASP-conferentie, zei echter dat hij de aanvalscode heeft laten zien en dat de aanvaller de volledige controle over de desktop van het slachtoffer kan krijgen.
De onderzoekers zeggen dat ze niet onder druk van Adobe stonden om hun toespraak te laten vallen. "Dit is geen kwaad, de man probeert ons de situatie van hackers in de gaten te houden", schreef Hansen maandag op zijn blog.
Hansen en Grossman zeggen dat ze ook verwachten dat Microsoft een gerelateerde fout in Internet Explorer zal repareren, en dat veel andere browsers ook worden beïnvloed door het Clickjacking-probleem. "We denken dat het min of meer een probleem met de browserbeveiliging is", zei Grossman.
Iomega helpt u bij het klonen van uw systeem - en speelt ook media Bijna twee jaar zijn verstreken sinds Iomega en EMC (bekend van zijn back-up software) zich aansloten en het nieuwste aanbod van Iomega weerspiegelt de huidige focus van het bedrijf op integratie van de hardware en software-ervaring. Iomega's nieuwe v.Clone, hier geïntroduc
Virtualisatiesoftware is natuurlijk niet nieuw en verschillende fabrikanten hebben al eerder geprobeerd zorgen voor virtualisatie op een USB-flashstation. Het verschil hier is dat het een mainstream leverancier van harde schijven is die virtualisatie biedt voor consumenten - en dat doet op iets dat veel groter is dan een schamele flashdrive die nauwelijks je internetfavorieten en e-mail kan verwerken.
Hof weigert verzoek van Apple om Samsung Galaxy Nexus te verbannen
Een Amerikaans hof van beroep heeft Apple geweigerd een verbod op een verkoopverbod uit te spreken Samsung Galaxy Nexus.
Waarom Apple niet kan voldoen aan het verzoek van fcc om fm-chip op iPhone in te schakelen
Apple is in een grote soep en kan FM-radio niet inschakelen op zijn chip ondanks het verzoek van FCC, lees meer om te weten waarom