Components

Een foto die uw Facebook-account kan stelen

#75 Wood turning, Ebonising and Gold Gilted a Sapele Bowl

#75 Wood turning, Ebonising and Gold Gilted a Sapele Bowl
Anonim

Op de Black Hat-computerbeveiligingsconferentie volgende week in Las Vegas, zullen onderzoekers software demonstreren die ze hebben ontwikkeld en die online geloofsbrieven kunnen stelen van gebruikers van populaire websites zoals Facebook, eBay en Google.

De aanval is gebaseerd op een nieuw type hybride bestand dat eruit ziet als verschillende dingen voor verschillende programma's. Door deze bestanden op websites te plaatsen waarmee gebruikers hun eigen afbeeldingen kunnen uploaden, kunnen de onderzoekers beveiligingssystemen omzeilen en de accounts overnemen van internetgebruikers die deze sites gebruiken.

"We hebben een Java kunnen verzinnen applet dat het voor alle doeleinden een beeld is ", zegt John Heasman, vice-president onderzoek bij NGS Software.

Ze noemen dit type bestand een GIFAR, een samentrekking van GIF (graphics interchange format) en JAR (Java Archive), de twee bestandstypen die worden gemengd. Bij Black Hat zullen de onderzoekers de aanwezigen laten zien hoe ze de GIFAR kunnen maken, terwijl ze een paar belangrijke details weglaten om te voorkomen dat deze onmiddellijk wordt gebruikt bij een wijdverspreide aanval.

Het bestand ziet er op de webserver precies uit als een.gif-bestand, een Java-virtuele machine van een browser opent het echter als een Java-archiefbestand en voert het vervolgens uit als een applet. Dat geeft de aanvaller de mogelijkheid om Java-code in de browser van het slachtoffer uit te voeren. De browser behandelt deze schadelijke applet alsof deze is geschreven door de ontwikkelaars van de website.

Hier is hoe een aanval zou werken: de slechteriken zouden een profiel maken op een van deze populaire websites - Facebook bijvoorbeeld - en upload hun GIFAR als een afbeelding op de site. Dan zouden ze het slachtoffer verleiden tot het bezoeken van een kwaadwillende website, die de browser van het slachtoffer zou vertellen om de GIFAR te openen. Op dat moment zou de applet in de browser worden uitgevoerd, waardoor de slechteriken toegang krijgen tot het Facebook-account van het slachtoffer.

De aanval zou kunnen werken op elke site waarmee gebruikers bestanden kunnen uploaden, mogelijk zelfs op websites die worden gebruikt om te uploaden bankkaartfoto's of zelfs Amazon.com, zeggen ze.

Omdat GIFAR's door Java worden geopend, kunnen ze in veel verschillende browsers worden geopend.

Er is echter één probleem. Het slachtoffer moet zijn aangemeld bij de website waarop de afbeelding wordt gehost zodat de aanval kan werken. "De aanval zal het beste werken, overal waar je jezelf voor lange tijd inlogt", zei Heasman. Er zijn een aantal manieren waarop de GIFAR-aanval kan worden verhinderd. Websites konden hun filterhulpmiddelen verbeteren zodat ze de hybride bestanden konden herkennen. Als alternatief kan Sun de Java runtime-omgeving aanhalen om te voorkomen dat dit gebeurt. De onderzoekers verwachten dat Sun niet lang na de Black Hat-talk met een oplossing komt.

Maar onderzoekers zeggen dat een Java-fix deze ene aanvalsvector kan uitschakelen, maar dat het probleem van kwaadaardige inhoud op legitieme webtoepassingen veel is groter en moeilijker kwestie. "Er zullen andere manieren zijn om dit te doen, met andere technologieën," zei GIFAR-ontwikkelaar Nathan McFeters, een onderzoeker bij Ernst & Young's Advanced Security Center.

"Op de lange termijn zullen webapplicaties de leiding moeten nemen over de inhoud, "zei McFeters. "Het is een probleem met de webtoepassing.De Java-aanval die we momenteel gebruiken, is slechts één vector."

Hij en zijn mede-presentatoren van Black Hat hebben hun toespraak het recht gegeven Het internet is verbroken.

Uiteindelijk zullen browsermakers hebben om ook enkele fundamentele wijzigingen in hun software aan te brengen, zei Jeremiah Grossman, chief technology officer bij White Hat Security. "Het is niet dat het internet kapot is," zei hij. "Het is dat de beveiliging van de browser kapot is. Browserbeveiliging is echt een oxymoron."