Una foto che può rubare il tuo account Facebook

Alla conferenza sulla sicurezza informatica di Black Hat a Las Vegas la prossima settimana, i ricercatori mostreranno il software che hanno sviluppato in grado di rubare credenziali online agli utenti di siti Web popolari come Facebook, eBay e Google.

L'attacco si basa su un nuovo tipo di file ibrido che assomiglia a cose diverse a programmi diversi. Inserendo questi file su siti Web che consentono agli utenti di caricare le proprie immagini, i ricercatori possono eludere i sistemi di sicurezza e prendere in carico gli account dei navigatori Web che utilizzano questi siti.

"Siamo stati in grado di creare un Java applet che a tutti gli effetti è un'immagine ", ha dichiarato John Heasman, vice presidente della ricerca di NGS Software.

Chiamano questo tipo di file una GIFAR, una contrazione di GIF (formato di interscambio grafico) e JAR (Java Archive), i due tipi di file che sono mescolati. A Black Hat, i ricercatori mostreranno ai partecipanti come creare la GIFAR omettendo alcuni dettagli chiave per impedirne l'uso immediato in qualsiasi attacco diffuso.

Al server Web, il file appare esattamente come un file.gif, tuttavia, una macchina virtuale Java di un browser la aprirà come un file di archivio Java e quindi la eseguirà come applet. Ciò dà all'aggressore l'opportunità di eseguire il codice Java nel browser della vittima. Da parte sua, il browser tratta questa applet malevola come se fosse stata scritta dagli sviluppatori del sito Web.

Ecco come funzionerebbe un attacco: i cattivi avrebbero creato un profilo su uno di questi popolari siti Web - Facebook ad esempio - e carica la loro GIFAR come immagine sul sito. Quindi avrebbero indotto la vittima a visitare un sito Web malevolo, che avrebbe detto al browser della vittima di aprire la GIFAR. A quel punto, l'applet funzionerà nel browser, dando ai cattivi accesso all'account Facebook della vittima.

L'attacco potrebbe funzionare su qualsiasi sito che consente agli utenti di caricare file, potenzialmente anche su siti Web che vengono utilizzati per caricare

Poiché i GIFAR sono aperti da Java, possono essere aperti in molti tipi di browser.

Tuttavia, c'è un problema. La vittima dovrebbe essere registrata nel sito Web che ospita l'immagine affinché l'attacco funzioni. "L'attacco funzionerà meglio ovunque ti lasci collegato per lunghi periodi di tempo", ha detto Heasman.

Ci sono un paio di modi in cui l'attacco GIFAR potrebbe essere vanificato. I siti Web potrebbero rinforzare i loro strumenti di filtraggio in modo che possano individuare i file ibridi. In alternativa, Sun potrebbe stringere l'ambiente di runtime Java per evitare che ciò accada. I ricercatori si aspettano che Sun abbia trovato una soluzione non molto tempo dopo il suo discorso su Black Hat.

Ma i ricercatori dicono che mentre una correzione di Java può disabilitare questo vettore di attacco, il problema del contenuto malevolo posto su applicazioni Web legittime è molto problema più grande e più spinoso. "Ci saranno altri modi per farlo, con altre tecnologie", ha detto lo sviluppatore GIFAR Nathan McFeters, ricercatore presso l'Advanced Security Center di Ernst & Young.

"Nel lungo termine, le applicazioni Web dovranno prendere il controllo di il contenuto ", ha detto McFeters. "Si tratta di un problema di applicazione Web. L'attacco Java che stiamo attualmente utilizzando è solo un vettore."

Lui ei suoi colleghi Black Hat hanno intitolato il loro discorso Internet è rotto.

In definitiva, i creatori di browser avranno anche per apportare alcune modifiche fondamentali al loro software, ha dichiarato Jeremiah Grossman, chief technology officer di White Hat Security. "Non è che Internet sia rotto", ha detto. "La sicurezza del browser è infranta, la sicurezza del browser è davvero un ossimoro."