Foto, které mohou ukrást váš účet na Facebooku

Na konferenci Black Hat o počítačové bezpečnosti v Las Vegas příští týden výzkumníci předvedou software, který vyvinuli, který by mohl ukrást online pověření od uživatelů oblíbených webových stránek, jako jsou Facebook, eBay a Google. Útok se opírá o nový typ hybridního souboru, který vypadá jako různé věci do různých programů. Umístěním těchto souborů na webové stránky, které umožňují uživatelům nahrát vlastní obrázky, mohou výzkumníci obejít bezpečnostní systémy a převzít účty webových surfařů, kteří tyto weby používají.

"Byli jsme schopni přijít s Java applet, který je pro všechny záměry a účely image, "řekl John Heasman, viceprezident výzkumu NGS Software.

Říkají tento typ souboru GIFAR, kontrakci GIF (grafický výměnný formát) a JAR), dva typy souborů, které jsou smíšené. V Black Hat budou výzkumníci ukázat účastníkům, jak vytvořit GIFAR, a zároveň vynechat několik klíčových detailů, aby se zabránilo jejich okamžitému použití v jakémkoli rozšířeném útoku.

Na webový server vypadá soubor přesně jako soubor.gif, ale virtuální stroj Java prohlížeče ji otevře jako soubor archivu Java a spusťte jej jako applet. To dává útočníkovi možnost spustit kód Java v prohlížeči oběti. Prohlížeč zpracovává tento škodlivý applet, jako by jej napsali vývojáři webových stránek.

Zde je návod, jak by útok fungoval: Chlapci by si vytvořili profil na jednom z těchto populárních webových stránek - např. Facebook - a nahrát jejich GIFAR jako obrázek na webu. Pak by obětovali oběť na návštěvu škodlivého webu, který by informoval prohlížeč oběti, aby otevřel GIFAR. V tomto okamžiku by se applet spouštěl v prohlížeči, což by umožnilo špatným klukům přístup k účtu Facebooku oběti.

Tento útok by mohl fungovat na libovolné stránce, která umožňuje uživatelům nahrát soubory, případně i na webových stránkách, které se používají k nahrávání fotografie bankovních karet nebo dokonce i Amazon.com

Protože GIFAR jsou otevřeny Java, mohou být otevřeny v mnoha typech prohlížečů.

Existuje však jedna chyba. Oběť bude muset být přihlášena na webový server, který je hostitelem obrazu útoku do práce. "Útok bude fungovat nejlépe všude tam, kde se necháte přihlásit na dlouhou dobu," říká Heasman.

Existuje několik způsobů, jak by útok GIFAR mohl být zmařen. Webové stránky by mohly zvýšit své filtrační nástroje, aby mohly najít hybridní soubory. Alternativně by společnost Sun mohla zpřísnit prostředí Java pro běh, aby tomu zabránila. Vědci očekávají, že Sun přichází s opravou, která není dalekosáhlá po rozhovoru s Black Hat.

Ale vědci tvrdí, že zatímco oprava Java může zakázat tento jeden útokový vektor, problém škodlivého obsahu je umístěn na legálních webových aplikacích větší a trnitější problém. "Budou existovat jiné způsoby, jak to udělat, s jinými technologiemi," řekl vývojář GIFAR Nathan McFeters, výzkumný pracovník s Advanced Security Center společnosti Ernst & Young.

"Webové aplikace budou muset dlouhodobě ovládat obsah, "řekl McFeters. "Je to problém s webovou aplikací. Jetový útok, který v současné době používáme, je jenom jeden vektor."

On a jeho kolegové Black Hat přednášející mají nárok na své rozhovory Internet je Broken. aby provedli také zásadní změny v jejich softwaru, řekl Jeremiah Grossman, vedoucí technický pracovník společnosti White Hat Security. "Nejde o to, že je internet rozbit," řekl. "Bezpečnost prohlížeče je porušena. Bezpečnost prohlížeče je ve skutečnosti oxymoron."