Фото, которое может украсть вашу учетную запись Facebook

На конференции по компьютерной безопасности Black Hat в Лас-Вегасе на следующей неделе исследователи продемонстрируют разработанное ими программное обеспечение, которое может украсть учетные данные онлайн у пользователей популярных веб-сайтов, таких как Facebook, eBay и Google.

Атака опирается на новый тип гибридного файла, который выглядит как разные вещи для разных программ. Размещая эти файлы на веб-сайтах, которые позволяют пользователям загружать свои собственные изображения, исследователи могут обойти системы безопасности и использовать учетные записи веб-серферов, которые используют эти сайты.

«Нам удалось найти Java апплет, который во всех смыслах и целях является образом », - сказал Джон Хейсман, вице-президент по исследованиям в NGS Software.

Они называют этот тип файла GIFAR, сокращение GIF (формат обмена графикой) и JAR (Java Archive), два смешанных типа файлов. В Black Hat исследователи покажут участникам, как создать GIFAR, опустив несколько ключевых деталей, чтобы предотвратить его немедленное использование в любой широко распространенной атаке.

На веб-сервер файл выглядит точно как.gif-файл, однако виртуальная машина Java в браузере откроет ее как файл архива Java, а затем запустит ее как апплет. Это дает злоумышленнику возможность запускать Java-код в браузере жертвы. Со своей стороны, браузер рассматривает этот вредоносный апплет, как если бы он был написан разработчиками веб-сайта.

Вот как будет работать атака: плохие парни создадут профиль на одном из этих популярных веб-сайтов - например, Facebook - и загрузите их GIFAR как изображение на сайте. Затем они обманут жертву, посетив вредоносный веб-сайт, который сказал браузеру жертвы открыть GIFAR. В этот момент апплет запускается в браузере, предоставляя плохим парням доступ к учетной записи Facebook жертвы.

Атака может работать на любом сайте, который позволяет пользователям загружать файлы, возможно даже на веб-сайты, которые используются для загрузки например, фотографии банковских карт или даже Amazon.com.

Поскольку GIFAR открыты Java, их можно открыть во многих типах браузеров.

Однако есть один улов. Потерпевший должен быть зарегистрирован на веб-сайте, на котором размещен образ для атаки. «Атака будет работать лучше всего там, где вы оставите себя в стороне в течение длительных периодов времени», сказал Хейсман.

Существует несколько способов, по которым атака GIFAR может быть сорвана. Веб-сайты могут усилить свои инструменты фильтрации, чтобы они могли обнаружить гибридные файлы. Кроме того, Sun может затянуть среду выполнения Java, чтобы это не происходило. Исследователи ожидают, что Sun придумает исправление вскоре после его разговоров с Black Hat.

Но исследователи говорят, что хотя исправление Java может отключить этот один вектор атаки, проблема вредоносного контента, размещаемого на законных веб-приложениях, более крупная и тернистая проблема. «Это будут другие способы сделать это с использованием других технологий», - сказал разработчик GIFAR Натан МакФеттер, исследователь Центра повышения безопасности Ernst & Young.

«В долгосрочной перспективе веб-приложениям придется взять под свой контроль контента », - сказал МакФеттерс. «Это проблема с веб-приложением. Атака Java, которую мы сейчас используем, - это всего лишь один вектор».

Он и его коллеги из Black Hat получили право на их разговор. Интернет разбит.

В конечном итоге разработчики браузеров будут иметь чтобы внести некоторые фундаментальные изменения в их программное обеспечение, - сказал Джеремия Гроссман, главный технический директор White Hat Security. «Дело не в том, что Интернет сломан», - сказал он. «Это то, что защита браузера нарушена. Безопасность браузера - это действительно оксюморон».