SVG umí sledovat podobně jako JavaScript

Pavel Houser , 12. leden 2012 08:30 0 komentářů

Keyloggery mohou fungovat různě. Podle nově objevené metody útoků lze údajně sledovat klávesy stisknuté uživatelem prohlížeče i v případě, že má vypnutý JavaScript. Špionážním objektem je v tomto případě speciálně upravený soubor ve formátu SVG.

Objevitel a bezpečnostní výzkumník Mario Heiderich se pře s Mozillou o to, zda/jak je tímto způsobem zranitelný Firefox. Podle Heidericha vstupujeme do post-XSS světa, když klasické cross site scripting metody založené na JavaScriptu již byly do značné míry eliminovány různými no script doplňky, sandboxy apod.

Jeremiah Grossman, CTO v bezpečnostní firmě White Hat Security, souhlasí s tím, že bez ohledu na tuto konkrétní kauzu budou útočníci stále častěji využívat i metody nepracující s JavaScriptem.

Pomocí SVG souboru lze spojit stisknutí klávesy s žádostí na odpovídající stránku (po vzoru "a" odpovídá podvodnyweb/a apod.). Uživatel sám ve své rozhraní si přitom těchto spojení nebude nijak vědom, monitoring sítě je samozřejmě zaznamená. Záznam kláves pak bude obsažen v log-souborech webserveru.

Je ale otázka, zda zrovna tahle metoda bude mít nějaký praktický význam, když oběti lze zmást tolika jinými a zřejmě jednoduššími způsoby. Faktem je, že keylogger na rozdíl od deskotopové aplikace takto může být těžko zachycen antivirem; stránku s podvodných SVG souborem může zablokovat leda webový štít.

Kritika, že standard SVG byl zaveden příliš překotně, bez vědomí bezpečnostních rizik, je asi oprávněná jen částečně - viz jak dlouho se na vektorovou grafiku na webu čekalo; navíc podobná funkčnost dosahovaná pomocí formátu Flash nebo kdysi VRML také rozhodně nebyla prosta bezpečnostních rizik.

Čili je problém se SVG významný, nebo ne? Možné poučení: Objevující se doporučení, aby měl člověk určitý (jedno jaký) prohlížeč člověk vyhrazen výlučně pro internetové bankovnictví a podobně citlivé aplikace, k běžné práci používal pak jiný produkt.

Zdroj: CNet a další


Komentáře

RSS 

Komentujeme

Automatizace bezpečnosti – problémem nejsou technologie

Pavel Houser , 03. září 2017 09:00
Pavel Houser

Umělá inteligence, strojové učení, behaviorální analýza, model SecOps (analogie DevOps pro zabezpeče...

Více






Kalendář

21. 09. Mobilní řešení pro business
25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
RSS 

Zprávičky

Oblíbený nástroj CCleaner obsahoval malware

Pavel Houser , 19. září 2017 17:17

Ohroženy mohou být miliony uživatelů. Zranitelné jsou verze CCleaner 5.33 a CCleaner Cloud 1.07.3191...

Více 0 komentářů

EK navrhuje nová pravidla pro pohyb dat neosobního charakteru

ČTK , 19. září 2017 15:26

Členské státy EU by už podle návrhu neměly nutit organizace, aby uchovávaly či zpracovávaly data na ...

Více 0 komentářů

Na trh přichází Synology C2 Backup

Pavel Houser , 19. září 2017 11:34

Synology strávila více než rok budováním vlastního datového centra....

Více 0 komentářů

Starší zprávičky

Hackathon veřejné správy přilákal na 6 desítek vývojářů

Pavel Houser , 19. září 2017 08:00

Propojit otevřená data veřejné správy v užitečné aplikace bylo cílem šesti desítek programátorů, kte...

Více 0 komentářů

Úřad pro ochranu hospodářské soutěže zkoumá zakázky na IT systémy

Pavel Houser , 18. září 2017 12:50

Úřad aktuálně se zaměřil na smlouvy na IT systémy uzavřené v jednacím řízení bez uveřejnění. ...

Více 0 komentářů

Alphabet zvažuje investici do alternativní taxislužby Lyft

ČTK , 18. září 2017 08:34

Podnik Waymo ze skupiny Alphabet už v květnu oznámil partnerství s Lyftem na vývoji technologie auto...

Více 0 komentářů

Plán zdanění internetových firem v EU má první trhliny

ČTK , 18. září 2017 08:00

Dánský ministr financí Kristian Jensen varoval před rizikem přijetí zákonů, které by mohly inovativn...

Více 0 komentářů