Zdjęcie, które może ukraść twoje konto na Facebooku

Podczas konferencji bezpieczeństwa komputerowego Black Hat w Las Vegas w przyszłym tygodniu naukowcy zaprezentują opracowane przez siebie oprogramowanie, które może wykraść online referencje od użytkowników popularnych witryn takich jak Facebook, eBay i Google.

Atak opiera się na nowym typie pliku hybrydowego, który różni się od różnych programów. Umieszczając te pliki na stronach internetowych, które pozwalają użytkownikom przesyłać własne obrazy, naukowcy mogą ominąć systemy bezpieczeństwa i przejąć konta internautów, którzy korzystają z tych stron.

"Udało nam się wymyślić Javę apletem, który na wszystkie potrzeby i cele jest obrazem "- powiedział John Heasman, wiceprezes działu badań w NGS Software.

Nazywają ten typ pliku GIFAREM, skurczem GIF (format wymiany grafiki) i JAR (Java Archive)), dwa typy plików, które są mieszane. W Black Hat naukowcy pokażą uczestnikom, jak utworzyć GIFAR, pomijając kilka kluczowych szczegółów, aby uniemożliwić ich natychmiastowe użycie w jakimkolwiek szeroko rozpowszechnionym ataku.

Na serwerze internetowym plik wygląda dokładnie jak plik.gif, jednak wirtualna maszyna Java przeglądarki otworzy ją jako plik Java Archive, a następnie uruchomi go jako aplet. To daje atakującemu możliwość uruchomienia kodu Java w przeglądarce ofiary. Ze swojej strony przeglądarka traktuje ten złośliwy aplet tak, jakby został napisany przez twórców witryny internetowej.

Oto jak działałby atak: źli ludzie stworzyliby profil na jednej z popularnych stron internetowych - na przykład Facebook - i prześlij GIFAR jako obraz na stronie. Następnie oszukają ofiarę odwiedzając złośliwą witrynę sieci Web, która powie przeglądarce ofiary, aby otworzyła GIFAR. W tym momencie aplet będzie działał w przeglądarce, dając złym ludziom dostęp do konta Facebooka ofiary.

Atak może zadziałać w każdej witrynie, która pozwala użytkownikom na przesyłanie plików, potencjalnie nawet na stronach internetowych, które są używane do przesyłania zdjęcia kart bankowych, a nawet Amazon.com, mówią.

Ponieważ GIFAR-y są otwierane przez Javę, można je otwierać w wielu typach przeglądarek.

Jest jednak jeden haczyk. Ofiara musiałaby być zalogowana na stronie internetowej, na której znajduje się obraz, aby atak zadziałał. "Atak będzie działał najlepiej, gdy pozostawisz się zalogowany przez dłuższy czas" - powiedział Heasman.

Istnieje kilka sposobów na to, że atak GIFAR może zostać udaremniony. Witryny sieci Web mogą wzmocnić swoje narzędzia filtrujące, aby mogły wykryć pliki hybrydowe. Alternatywnie, Sun może zaostrzyć środowisko wykonawcze Java, aby temu zapobiec. Naukowcy oczekują, że Sun znajdzie poprawkę niedługo po rozmowie w Black Hat.

Ale badacze twierdzą, że o ile poprawka Java może wyłączyć ten jeden wektor ataku, problem złośliwej zawartości umieszczanej w legalnych aplikacjach internetowych jest większy i bardziej drażliwy problem. "Z innymi technologiami będą na to inne sposoby", powiedział Nathan McFeters, badacz z Advanced Security Center firmy Ernst & Young.

"W długim okresie aplikacje internetowe będą musiały przejąć kontrolę nad treść - powiedział McFeters. "To jest problem z aplikacją sieciową. Atak Java, który obecnie używamy, jest tylko jednym wektorem."

On i jego koledzy z Black Hook'a zatytułowali swoją wypowiedź Internet jest zepsuty.

Ostatecznie twórcy przeglądarek będą mieli aby wprowadzić zasadnicze zmiany w oprogramowaniu, powiedział Jeremiah Grossman, dyrektor ds. technologii w White Hat Security. "To nie jest tak, że Internet jest zepsuty", powiedział. "Chodzi o to, że bezpieczeństwo przeglądarki jest zepsute. Zabezpieczenia przeglądarki to tak naprawdę oksymoron."