Hybrid GIFu a Javy krade přístup na Facebook i eBay

4. 8. 2008

Sdílet

Objevitelé nového podvodu označují záludný soubor jako GIFAR (GIF + archiv JAR). Pro webový server se soubor tváří jako obrázek GIF, zatímco v prohlížeči se spustí jako javový applet. Zranitelné jsou servery, které umožňují upload souborů...

V Las Vegas má být na konferenci BlackHat v tomto týdnu prezentován způsob, kterým je možné krást účty/identity podivnou kombinací javového archivu a GIFu.
Objevitelé nového podvodu označují záludný soubor jako GIFAR (GIF + archiv JAR). Neprozradili zatím, jak je tento soubor vytvořen, protože nechtěli dát do rukou návod k masově prováděnému útoku. Jeden z objevitelů, John Heasman, vice president výzkumu ve firmě Next Generation Security Software, ale popsal, že metoda funguje tak, že pro webový server se soubor tváří jako obrázek GIF, zatímco v prohlížeči se spustí jako javový applet.
Zranitelné jsou servery, které umožňují upload souborů, tedy Facebook a další sociální sítě, ale třeba i hostingové služby, eBay nebo Google.
Útočník si vytvoří např. na Facebooku svůj profil, kam uploaduje soubor GIFAR. Pak stačí někoho přimět k návštěvě stránky, v prohlížeči se mu spustí applet a získá jeho přístupová oprávnění (podle všeho by to nefungovalo, kdyby applet by stažen z jiného serveru; nicméně odkázat se na něj lze samozřejmě odkudkoliv). Ještě je ovšem potřeba, aby oběť byla právě přihlášena ke svému účtu.
Takto lze údajně ukrást účet k jakémukoliv serveru, kam se podaří GIFAR nahrát. Na americkém Computerworldu v této souvislosti zmiňují třeba servery, kam se uploadují fotografie bankovních karet (?).

Řešení problému: lepší filtrace na straně webových serverů, která by zabránila sem nasadit podobné podvodné hybridní soubory. Jinou možností je nějaká úprava na úrovni Java Virtual Machine, k čemuž podle objevitelů metody Sun zřejmě brzy přikročí. Jak nicméně upozorňují analytici, Java je jen jednou z možností tohoto druhu útoků; k podobným trikům lze v principu použít libovolný „aktivní obsah“ spouštěný v rámci webového prohlížeče. Nakonec lze problém chápat nejen jako riziko zabezpečení Facebooku či JVM, ale i samotné koncepce WWW browserů.

Zdroj: Computerworld.com

Z Facebooku unikla data narození
Nahrávání obrázků na Facebook nebo MySpace není bez rizika
Podvodníci podle Microsoftu přecházejí od e-mailu k sociálním sítím

Autor článku