A fénykép, amely ellophatja a Facebook-fiókját

A Las Vegas-i Black Hat számítógépbiztonsági konferencián a jövő héten a kutatók bemutatják a kifejlesztett szoftvereket, amelyek ellophatják az online hitelesítő adatokat a népszerű webhelyek, például a Facebook, az eBay és a Google felhasználóitól.

A támadás egy újfajta hibridfájlra támaszkodik, amely különböző dolgokra hasonlít. Azáltal, hogy ezeket a fájlokat olyan webhelyekre helyezi, amelyek lehetővé teszik a felhasználók számára, hogy feltöltsék saját képüket, a kutatók megkerülhetik a biztonsági rendszereket, és átvehetik az ilyen weboldalakat használó webszalagok számláit.

"Játszottunk egy Java applet, amely minden szándékra és célra egy kép "- mondta John Heasman, az NGS Software kutatási alelnöke.

Ezt a fajta fájlt GIFAR-nek, a GIF (grafikai csereformátum) és a JAR (Java Archive), a két típusú fájltípusok keverednek. A Black Hat-ban a kutatók megmutatják a résztvevőknek, hogyan kell létrehozni a GIFAR-t, miközben néhány kulcsfontosságú részletet kihagynak annak elkerülése érdekében, hogy azonnal használják őket bármilyen elterjedt támadásban.

A webszerverhez hasonlóan a fájl pontosan úgy néz ki, mint a.gif fájl, a böngésző Java virtuális gépje azonban Java archív fájlként nyithatja meg, majd kisalkalmazásként futtathatja. Ez lehetőséget nyújt a támadónak arra, hogy futtassa a Java kódot az áldozat böngészőjében. A böngésző ezt a rosszindulatú appletet úgy kezeli, mintha a weboldal fejlesztői írnák.

A támadások működése: A rosszfiúk létrehoznának egy profilt egy ilyen népszerű webhelyen - például a Facebookon - és töltsd fel GIFAR-t képként a webhelyen. Aztán becsapják az áldozatot egy rosszindulatú weboldal meglátogatásába, amely megmondja az áldozat böngészőjének, hogy nyissa meg a GIFAR-ot. Ezen a ponton az applet futna a böngészőben, így a rosszfiúk férhetnek hozzá az áldozat Facebook-fiókjához.

A támadás bármely olyan webhelyen működhet, amely lehetővé teszi a felhasználók számára, hogy feltöltsék a fájlokat, esetleg akár olyan weboldalakon is, amelyeket feltöltenek bankkártya fotókat vagy akár Amazon.com-ot, azt mondják.

Mivel a Java megnyitja a GIFAR-okat, sokféle böngészőben lehet megnyitni.

Van azonban egy fogás. Az áldozatnak be kell jelentkeznie a weboldalra, amely a kép a munkába ütköző támadást biztosítja. "A támadás a legalkalmasabb lesz, bárhová is hagyja magát bejelentkezve hosszú időn keresztül" - mondta Heasman.

A GIFAR támadásának néhány módja megakadályozható. A webhelyek megerősíthetik a szűrőeszközeiket, hogy észrevegyék a hibrid fájlokat. Alternatív megoldásként a Sun szigoríthatja a Java futtató környezetet, hogy ez megakadályozza. A kutatók arra számítanak, hogy a Sun nem sokkal a Black Hat beszélgetése után kijavít egy javítást.

De a kutatók azt mondják, hogy míg egy Java javítás letilthatja ezt az egyik támadási vektort, a rosszindulatú tartalom legális webalkalmazásokra nagyobb és tágabb kérdés. "Egyéb módokon is megtehetjük ezt, más technológiákkal" - mondta a GIFAR fejlesztője, Nathan McFeters, az Ernst & Young Advanced Security Centerje.

"Hosszú távon a webes alkalmazásoknak a tartalom - mondta McFeters. "Ez egy webes alkalmazással kapcsolatos probléma, a jelenleg alkalmazott Java-támadás csak egy vektor."

Ő és fickó a Black Hat előadók a "The Internet Broken" beszélgetésüket adták.

Végül a böngészők hogy alapvető változtatásokat hajtsanak végre a szoftverükben is - mondta Jeremiah Grossman, a White Hat Security vezető technológiai vezetője. "Nem az, hogy az internet megromlott" - mondta. "Ez a böngésző biztonsága megszakadt, a böngészõ biztonsága valójában egy oxymoron."