Valokuva varastaa Facebook-tunnuksesi
Valokuvaksi naamioitu pienoissovellus voi kaapata käyttäjätunnuksen valokuvia isännöivistä palveluista, esimerkiksi Facebookista. Tietoturvatutkijat esittelevät menetelmän ensi viikolla Las Vegasissa pidettävässä Black Hat -tietoruvakonferenssissa.
Uhka perustuu gifar-tiedostotyyppiin, joka näyttää verkkopalvelulle tavalliselta kuvatiedostolta. Se on kuitenkin gif-kuvatiedoston ja pakatun jar-nimisen java-tiedoston yhdistelmä. Selainohjelma avaa pahaa-aavistamatta tiedoston tavallisena java-sovelluksena.
Haavoittuvuutta hyödyntävän tarvitsee vain luoda profiili esimerkiksi Facebook-sivulle ja lähettää kaappauksen tekevä gifar-tiedosto palveluun kuvana. Uhri tulee tämän jälkeen huijata napsauttamaan linkkiä, joka johtaa kaappausta varten luodulle verkkosivustolle. Sivusto ohjaa tämän jälkeen selaimen avaamaan Facebook-palvelussa olevan kuvatiedoston.
Jos käyttäjä on samanaikaisesti kirjautunut sisään yhteisöpalveluun, kuvatiedoston sisältämä java-sovellus voi kaapata käyttäjän Facebook-tunnuksen.
”Internet on rikki”
Hyökkäys on mahdollista toteuttaa millä tahansa verkkosivulla, jolle on mahdollista lähettää valokuvia. Joukkoon kuuluvat Facebookin lisäksi muun muassa Google, eBay ja Amazon.
Verkkopalvelut voivat kuitenkin torjua uhkan lisäämällä nykyisiin tiedostojen suodatustyökaluihinsa kyvyn erottaa haitallinen tiedosto tavallisesta kuvatiedostosta. Java-ympäristöstä vastaavan Sunin arvellaan myös tekevän ohjelmistokoodiinsa hyökkäyksen estävän muutoksen pian konferenssin jälkeen.
Tietoturvatutkijoiden mukaan haitallisen sisällön lisääminen aidoille verkkosivuille on kuitenkin monitahoisempi ongelma, vaikka java-korjaus saattaa paikata nyt esiin tulleen aukon.
”Esiin tulee nousemaan muita tapoja toteuttaa sama hyökkäys muilla teknologioilla”, arvioi gifar-tiedoston kehittänyt tietoturvatutkija Nathan McFeters Ernst & Youngin tietoturvakeskuksesta.
McFeters on antanut kumppaneineen esitykselleen nimen Internet on rikki (The Internet is broken).
Tietoturvayhtiö WhiteHat Securityn teknologiajohtaja Jeremiah Grossmanin mukaan myös selainten kehittäjien tulee tehdä muutoksia sovelluksiinsa.
”Kyse ei ole siitä, että internet olisi rikki. Selainten tietoturva on rikki”, Grossman sanoo.
