תמונה שיכולה לגנוב את חשבון הפייסבוק שלך

בועידת האבטחה של Black Hat בלאס וגאס בשבוע הבא, החוקרים יציגו תוכנות שיכולות לגנוב את האישורים המקוונים ממשתמשים באתרי אינטרנט פופולריים כגון Facebook, eBay ו- Google.

ההתקפה נשענת על סוג חדש של קבצים היברידיים שנראים כמו דברים שונים לתוכניות שונות. על ידי הצבת קבצים אלה באתרי אינטרנט המאפשרים למשתמשים להעלות תמונות משלהם, החוקרים יכולים לעקוף את מערכות האבטחה ולקחת את חשבונותיהם של גולשים המשתמשים באתרים אלה.

"הצלחנו ליצור Java "אומר ג 'ון Heasman, סגן נשיא למחקר ב NGS Software.

הם קוראים סוג זה של קובץ GIFAR, התכווצות של GIF (גרפיקה interchange פורמט) ו JAR (ארכיון Java), שני סוגי הקבצים המעורבים. ב Black Hat, החוקרים יראו את המשתתפים כיצד ליצור את GIFAR תוך השמטת כמה פרטים מרכזיים כדי למנוע ממנו להיות בשימוש מיידי בכל התקפה נרחבת.

לשרת האינטרנט, הקובץ נראה בדיוק כמו קובץ.gif, עם זאת, מכונה וירטואלית Java של הדפדפן תפתח אותו כקובץ Java Archive ולאחר מכן להפעיל אותו כמו יישומון. זה נותן לתוקף הזדמנות להפעיל קוד Java בדפדפן של הקורבן. הדפדפן הזה מטפל ביישומון זדוני זה כאילו נכתב על ידי מפתחי האתר.

כך יפעל התקף: הרעים יצרו פרופיל באחד מאתרי אינטרנט פופולריים אלה - Facebook למשל - ולהעלות את GIFAR שלהם כתמונה באתר. אחר כך היו מעיפים את הקורבן בביקור באתר אינטרנט זדוני, שיגיד לדפדפן הקורבן לפתוח את ה- GIFAR. בשלב זה, היישומון ירוץ בדפדפן וייתן לרעים גישה לחשבון הפייסבוק של הקורבן.

ההתקפה יכולה לפעול בכל אתר המאפשר למשתמשים להעלות קבצים, אפילו באתרי אינטרנט המשמשים להעלאה תמונות כרטיס בנקאיות או אפילו Amazon.com, הם אומרים.

כי GIFARs נפתחים על ידי ג 'אווה, הם יכולים להיפתח סוגים רבים של דפדפנים.

יש לתפוס אחד, עם זאת. הקורבן יצטרך להיות מחובר לאתר אינטרנט שמארח את התמונה עבור ההתקפה לעבוד. "ההתקפה תעבוד הכי טוב בכל מקום שתשאיר את עצמך מחוברת לפרקי זמן ארוכים", אמר חסמן. "יש כמה דרכים שאפשר לסכל את התקפת גיפר. אתרי אינטרנט יכול להגביר את כלי הסינון שלהם, כדי שיוכלו לזהות את הקבצים ההיברידיים. לחלופין, סאן יכולה להדק את סביבת ריצה של Java כדי למנוע זאת. לדברי החוקרים, בעוד שתיקון Java עשוי להשבית את וקטור ההתקפות הזה, הבעיה של תוכן זדוני שמוקם על יישומי אינטרנט לגיטימיים היא הרבה בעיה גדולה וקוצנית יותר. "בטווח הארוך, יישומי אינטרנט יצטרכו להשתלט על", אומר גיפר, ניית'ן מקפטרס, חוקר במרכז הביטחוני המתקדמים של ארנסט אנד יאנג. את התוכן, "אמר McFeters. "זו בעיה של יישומי אינטרנט, ההתקפה של ג'אווה שאנחנו משתמשים בה כרגע היא רק וקטור אחד".

הוא וחבריו של Black Hat זכאים לשיחתם האינטרנט הוא שבור.

בסופו של דבר, כדי לבצע כמה שינויים יסודיים בתוכנה שלהם, אמר ג'רמיה גרוסמן, קצין הטכנולוגיה הראשי של White Hat Security. "זה לא שהאינטרנט נשבר", אמר. "זה האבטחה של הדפדפן הוא שבור. אבטחה דפדפן הוא באמת אוקסימורון."