אתרי אינטרנט בולטים מצאו פגם רציני בקוד

שני אקדמאים מאוניברסיטת פרינסטון מצאו סוג של פגם קידוד במספר אתרי אינטרנט בולטים העלולים לסכן נתונים אישיים ובמקרה מדאיג אחד, לנקז חשבון בנק.

סוג הפגם, הנקרא זיוף בקשת אתר (CSRF), מאפשר לתוקף לבצע פעולות באתר אינטרנט בשם קורבן שכבר נכנס לאתר.

ליקויי CSRF התעלמו במידה רבה על ידי מפתחי אינטרנט בשל חוסר ידע, כתב ויליאם זלר אדוארד פלטן, שחיבר מחקר על ממצאיו.

[המשך קריאה: כיצד להסיר תוכנות זדוניות ממחשב Windows]

הפגם נמצא באתרי האינטרנט של הניו יורק טיימס; ING Direct, בנק לחיסכון בארה"ב; YouTube של Google; ו MetaFilter, אתר בלוגים.

כדי לנצל את הפגם CSRF, התוקף צריך ליצור דף אינטרנט מיוחד לפתות קורבן לדף. האתר הזדוני מקודד כדי לשלוח בקשה בין אתרים באמצעות דפדפן הקורבן לאתר אחר.

לצערנו שפת התכנות העומדת בבסיס האינטרנט, HTML, מקלה על ביצוע שני סוגים של בקשות, שתיהן יכולות להיות המשמשים להתקפות CSRF, כתבו החוקרים.

עובדה זו מצביעה על האופן שבו מפתחי אינטרנט דוחפים את מעטפת התכנות לעיצוב שירותי אינטרנט, אך לעיתים עם תוצאות בלתי מכוונות.

"הסיבה הבסיסית ל- CSRF ופגיעויות דומות נמצאת כנראה המורכבות של פרוטוקולי האינטרנט של היום ואת ההתפתחות ההדרגתית של האינטרנט ממסד נתונים להצגת פלטפורמה לשירותים אינטראקטיביים ", על פי העיתון. חלק מאתרי האינטרנט קובעים מזהה הפעלה, פיסת מידע המאוחסנת בקובץ cookie, או קובץ נתונים בתוך הדפדפן, כאשר אדם נכנס לאתר. מזהה הפגישה נבדק, לדוגמה, במהלך רכישה מקוונת, כדי לוודא שהדפדפן נמצא בעסקה.

במהלך התקפת CSRF, בקשת האקר מועברת דרך דפדפן הקורבן. אתר האינטרנט בודק את מזהה הפגישה, אך האתר אינו יכול לבדוק אם הבקשה הגיעה מהאדם הנכון.

בעיית CSRF באתר האינטרנט של הניו יורק טיימס, על פי עבודת המחקר, מאפשרת לתוקף להשיג את כתובת הדואר האלקטרוני של המשתמש שנכנס לאתר. כתובת זו עלולה להיות ספאם.

אתר האינטרנט של העיתון יש כלי המאפשר למשתמשים מחוברים לכתוב בדואר אלקטרוני למישהו אחר. אם הוא מבקר על ידי הקורבן, אתר האינטרנט של ההאקר שולח אוטומטית פקודה דרך דפדפן הקורבן כדי לשלוח הודעת דואר אלקטרוני מאתר האינטרנט של העיתון. אם כתובת הדואר האלקטרוני של היעד זהה לזו של האקר, כתובת הדואר האלקטרוני של הקורבן תיחשף.

נכון ל -24 בספטמבר, הפגם לא נקבע, אם כי המחברים כתבו שהם הודיעו לעיתון בספטמבר 2007. הבעיה של אי.אי.ג'י היתה גדולה יותר. Zeller ו Felten כתב את הפגם CSRF מותר חשבון נוסף כדי להיווצר בשם הקורבן. כמו כן, תוקף יכול להעביר את הכסף של הקורבן לחשבון שלהם. ING מאז תיקנה את הבעיה, הם כתבו.

באתר האינטרנט של MetaFile, האקר יכול לקבל סיסמה של אדם. ב- YouTube, התקפה יכולה להוסיף סרטונים ל'מועדפים 'של משתמש ולשלוח הודעות שרירותיות בשם המשתמש, בין פעולות אחרות. בשני האתרים, בעיות CSRF תוקנו.

למרבה המזל, פגמים CSRF הם קל למצוא וקל לתקן, אשר המחברים לתת פרטים טכניים על הנייר שלהם. הם יצרו גם תוסף לפיירפוקס המגן מפני סוגים מסוימים של התקפות CSRF