Hackers kunnen gegevens stelen via hybride-plaatjes
Gepubliceerd: Vrijdag 1 augustus 2008
Auteur: Martin Gijzemijter
Onderzoekers hebben software ontwikkeld waarmee het kinderlijk eenvoudig is om vertrouwelijke gegevens te stelen van sites als Facebook, eBay en Google.
De software zal volgende week worden gepresenteerd tijdens de Black Hat securityconferentie in Las Vegas. De informatie kan worden gestolen met behulp van een bestand dat door verschillende programma's op verschillende manieren wordt geïnterpreteerd. Door deze bestanden op websites te plaatsen via een afbeeldingenuploader, kunnen beveiligingssystemen worden omzeild en accounts van gebruikers van dergelijke sites worden overgenomen.
Hybride-bestand
Het bestand heeft de naam GIFAR gekregen, een samentrekking van GIF (graphics interchange format) en JAR (Java Archive). De onderzoekers zullen tijdens Black Hat laten zien hoe een dergelijke hybride-bestand kan worden gemaakt, maar laten daarbij een aantal belangrijke technische aspecten weg, zodat de techniek niet direct kan worden gebruikt.
Wanneer een GIFAR wordt geupload naar een website via een bestandsuploader, dan ziet de webserver niets anders dan een .gif-bestand. De Java Virtual Machine in een internetbrowser herkent echter de java-onderdelen van het bestand en zal het openen en draaien als een applet.
Dat geeft de hacker de mogelijkheid om Javacode te draaien via de browser van een potentieel slachtoffer. Extra gevaarlijk, omdat de browser de applet behandelt alsof hij geschreven is door de ontwikkelaars van de website, oftewel, met volledige rechten.
Volledige controle
Om de techniek te laten werken, moeten hackers een bezoeker van de site overigens wel op een link laten klikken die leidt naar een kwaadwaardige website, die de browser vertelt dat de GIFAR geopend moet worden. Zodra dit gelukt is wordt de applet gestart en heeft een hacker volledige controle over het account van de persoon in kwestie.
Uiteraard is de voorwaarde hiervoor wel dat een gebruiker ingelogd is op zijn account binnen de betreffende site. Volgens één van de onderzoekers, John Heasman, vice president of research bij NGS Software, zal een dergelijke aanval het meest succesvol zijn bij gebruikers die standaard blijven ingelogd.
Preventie
Er zijn verschillende manieren waarmee dergelijke aanvallen kunnen worden voorkomen. Zo kunnen websites hun filters updaten om GIFAR-bestanden te herkennen en zou Sun de Java runtime environment strakker kunnen inrichten om misbruik te voorkomen. De onderzoekers verwachten dat Sun kort na de Black Hat-conventie met een patch zal komen.
