SVG umí sledovat podobně jako JavaScript

Pavel Houser , 12. leden 2012 08:30 0 komentářů

Keyloggery mohou fungovat různě. Podle nově objevené metody útoků lze údajně sledovat klávesy stisknuté uživatelem prohlížeče i v případě, že má vypnutý JavaScript. Špionážním objektem je v tomto případě speciálně upravený soubor ve formátu SVG.

Objevitel a bezpečnostní výzkumník Mario Heiderich se pře s Mozillou o to, zda/jak je tímto způsobem zranitelný Firefox. Podle Heidericha vstupujeme do post-XSS světa, když klasické cross site scripting metody založené na JavaScriptu již byly do značné míry eliminovány různými no script doplňky, sandboxy apod.

Jeremiah Grossman, CTO v bezpečnostní firmě White Hat Security, souhlasí s tím, že bez ohledu na tuto konkrétní kauzu budou útočníci stále častěji využívat i metody nepracující s JavaScriptem.

Pomocí SVG souboru lze spojit stisknutí klávesy s žádostí na odpovídající stránku (po vzoru "a" odpovídá podvodnyweb/a apod.). Uživatel sám ve své rozhraní si přitom těchto spojení nebude nijak vědom, monitoring sítě je samozřejmě zaznamená. Záznam kláves pak bude obsažen v log-souborech webserveru.

Je ale otázka, zda zrovna tahle metoda bude mít nějaký praktický význam, když oběti lze zmást tolika jinými a zřejmě jednoduššími způsoby. Faktem je, že keylogger na rozdíl od deskotopové aplikace takto může být těžko zachycen antivirem; stránku s podvodných SVG souborem může zablokovat leda webový štít.

Kritika, že standard SVG byl zaveden příliš překotně, bez vědomí bezpečnostních rizik, je asi oprávněná jen částečně - viz jak dlouho se na vektorovou grafiku na webu čekalo; navíc podobná funkčnost dosahovaná pomocí formátu Flash nebo kdysi VRML také rozhodně nebyla prosta bezpečnostních rizik.

Čili je problém se SVG významný, nebo ne? Možné poučení: Objevující se doporučení, aby měl člověk určitý (jedno jaký) prohlížeč člověk vyhrazen výlučně pro internetové bankovnictví a podobně citlivé aplikace, k běžné práci používal pak jiný produkt.

Zdroj: CNet a další


Komentáře

RSS 

Komentujeme

Vládní čtvrť a vládní systém, tedy ten informační

Petr Zavoral , 06. leden 2018 16:15
Petr Zavoral

Jeden ze zakladatelů enterprise architektury John Zachman srovnává IT v institucích s Boeingem: Firm...

Více







Kalendář

18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd
30. 01. Ecommerce Expo Prague 2018

RSS 

Zprávičky

Digitální fragmentace představuje hrozbu pro další rozvoj firem

Pavel Houser , 17. leden 2018 14:51

Množství restriktivních opatření přijatých státy G20 se mezi lety 2010 a 2016 zčtyřnásobilo....

Více 1 komentářů

V USA prý vyzývají AT&T k přerušení vztahů s Huawei

ČTK , 17. leden 2018 09:00

Zákonodárci údajně varují americké podniky, že vztahy s Huawei či China Mobile snižují jejich šance ...

Více 0 komentářů

Roman Knap jmenován generálním ředitelem SAP Slovensko

Pavel Houser , 17. leden 2018 08:00

R. Knap v letech 2012–2014 zastával pozici generálního ředitele SAP Slovensko, od roku 2014 je gener...

Více 0 komentářů

Starší zprávičky

Bitcoin ztrácí 18 %, dolů ho tlačí obavy z regulace

ČTK , 16. leden 2018 12:18

Trhy se obávají regulace obchodů po oznámení jihokorejského ministra financí....

Více 0 komentářů

Světový trh s polovodiči poroste letos výrazně rychleji

Pavel Houser , 16. leden 2018 10:26

Očekávaný růst souvisí zejména s růstem cen RAM a flash pamětí. Bezpečností slabiny procesorů mohou ...

Více 0 komentářů

Výrobce chytrých telefonů Xiaomi vstupuje na burzu

ČTK , 16. leden 2018 09:00

Někteří analytici hodnotu 100 miliard zpochybňují s argumentem vysoké konkurence na globálním trhu c...

Více 0 komentářů

Internetové bankovnictví používá polovina Evropanů

ČTK , 16. leden 2018 08:00

Česká republika obsadila mezi 28 zeměmi EU spolu s Rakouskem 12. příčku s podílem 57 %....

Více 0 komentářů