Nieuwe aanvalstechnologie om Google Desktop te misbruiken
Gepubliceerd: Maandag 26 februari 2007
Auteur: Wilbert de Vries
Onderzoekers hebben voor de tweede keer in korte tijd een lek in de desktopzoekapplicatie van Google gevonden dat aanvallers toegang tot alle geïndexeerde data kan geven.
Het nieuwe lek is een variatie op een minder bekende aanvalstechniek genaamd anti-dns-pinning waarbij de aanvaller gebruikmaakt van een combinatie van cross-site scripting (xss) en het vervalsen van headers om gegevens te onderscheppen.
Om het lek te kunnen misbruiken dient de aanvaller wel een xss-lek in de website van Google te kunnen misbruiken. De consequenties kunnen echter ernstig zijn, zegt Robert Hansen, een onafhankelijk beveiligingsonderzoeker die de nieuwe methode ontdekte.
"Alle gegevens op een pc kunnen worden doorgesluisd naar de machine van een aanvaller", aldus Hansen, die eind vorige week enkele details over de nieuwe aanvalsmethode op zijn website heeft gepubliceerd.
In een reactie op de publicatie van Hansen, heeft Google aangegeven het door de expert ontdekte lek te onderzoeken.
Of Google het lek ook daadwerkelijk kan verhelpen, is maar de vraag. Anti-dns-pinning (en de varianties hierop) is een relatief nieuwe aanvalsmethode die door een handjevol onderzoekers en aanvallers wordt begrepen.
Duidelijk is wel dat het een aanvalsmethode is waartegen eigenlijk geen bescherming bestaat. De enige manier om misbruik tegen te gaan is om alle xss-lekken te dichten.
"Het is simpelweg de manier waarop een browser werkt", zegt Jeremiah Grossman, cto bij Whitehat Security. "Als je een website toegang geeft tot je harde schijf, dan vertrouw je erop dat die site veilig is."
"Veel van deze nieuwe aanvalstechnieken zorgen ervoor dat browsers beter moeten worden", meent Grossman. "Gebruikers hebben weinig mogelijkheden om zich hiertegen te beschermen. Zelfs experts durven niet meer op linkjes van elkaar te klikken."
Bron: Techworld
