Blog

Előzménylopás, gyorsítótárlopás... Kiegészítéslopás!

2010.08.04. 00:00:01, Földes Ádám Máté

A Safari böngésző egy súlyos biztonsági hiányosságáról blogolt Jeremiah Grossman, a WhiteHat Security vezetője. A szakember azt állítja, hogy egy, az inkriminált böngészőt futtató felhasználó személyes adatait (pl. nevét, munkahelyét, e-mail címét) bizonyos körülmények közt akkor is meg tudja szerezni, ha ezen információkat a felhasználó sosem adta meg böngészés közben. A támadáshoz videós illusztráció is fellelhető.

Mindezt az teszi lehetővé, hogy az automatikus kiegészítés nevű funkciót illetően a Safari igyekszik egy lépéssel a felhasználó előtt járni. A böngésző megpróbálja az adatokat a felhasználó közreműködése nélkül, az operációs rendszer címjegyzékéből előállítani. Ha a felhasználó egy fertőzött honlapra téved, és az adatok ki vannak töltve az éppen aktív felhasználói fiókhoz, a támadó máris hozzájutott azokhoz.

A blogbejegyzéshez beküldött kommentek közt böngészve kiderül, hogy egy sok szempontból hasonlatos támadást már 2009. áprilisában kifejlesztettek. Nem lehetünk benne biztosak tehát, hogy a máig befoltozatlannak tűnő rést nem aknázták már ki… Némi bizakodásra adhat azonban okot, hogy a kommentek tanúsága szerint több felhasználónál nem működik a támadás a Safari 5-ös verziójával. Megjegyzendő továbbá, hogy azok a felhasználók, akik nem használják az automata kitöltés funkciót, védettek a módszer ellen.

A támadás érdekessége egyébként, hogy közelebb hoz egy unalomig elcsépelt filmes klisét a valósághoz, méghozzá azt, amikor a főhős hacker által munkába állított program karakterenként töri fel az adminisztrátori jelszót. A módszer ugyanis úgy működik, hogy egy JavaScript nyelven írt program egy szövegmezőben rendre az A, B, C stb. betűk leütését szimulálja. A megfelelő karakter – vagyis kezdőbetű – „leütésekor″ az automatikus kitöltés aktiválódik, és az információ megjelenik a szövegmezőben. Kár, hogy könnyű elrontani a „moziélményt″, ha a támadó egy megfelelően megszerkesztett CSS stíluslap használatával láthatatlanná teszi a támadásra szolgáló szövegdobozt…

Hozzászólások

Összesen 0 hozzászólás látható.

Nincsenek hozzászólások.


A hozzászóláshoz be kell jelentkezni!

© PET Portál és Blog, 2008-2010 | Impresszum | Adatvédelmi nyilatkozat