SVG umí sledovat podobně jako JavaScript

Pavel Houser , 12. leden 2012 08:30 0 komentářů

Keyloggery mohou fungovat různě. Podle nově objevené metody útoků lze údajně sledovat klávesy stisknuté uživatelem prohlížeče i v případě, že má vypnutý JavaScript. Špionážním objektem je v tomto případě speciálně upravený soubor ve formátu SVG.

Objevitel a bezpečnostní výzkumník Mario Heiderich se pře s Mozillou o to, zda/jak je tímto způsobem zranitelný Firefox. Podle Heidericha vstupujeme do post-XSS světa, když klasické cross site scripting metody založené na JavaScriptu již byly do značné míry eliminovány různými no script doplňky, sandboxy apod.

Jeremiah Grossman, CTO v bezpečnostní firmě White Hat Security, souhlasí s tím, že bez ohledu na tuto konkrétní kauzu budou útočníci stále častěji využívat i metody nepracující s JavaScriptem.

Pomocí SVG souboru lze spojit stisknutí klávesy s žádostí na odpovídající stránku (po vzoru "a" odpovídá podvodnyweb/a apod.). Uživatel sám ve své rozhraní si přitom těchto spojení nebude nijak vědom, monitoring sítě je samozřejmě zaznamená. Záznam kláves pak bude obsažen v log-souborech webserveru.

Je ale otázka, zda zrovna tahle metoda bude mít nějaký praktický význam, když oběti lze zmást tolika jinými a zřejmě jednoduššími způsoby. Faktem je, že keylogger na rozdíl od deskotopové aplikace takto může být těžko zachycen antivirem; stránku s podvodných SVG souborem může zablokovat leda webový štít.

Kritika, že standard SVG byl zaveden příliš překotně, bez vědomí bezpečnostních rizik, je asi oprávněná jen částečně - viz jak dlouho se na vektorovou grafiku na webu čekalo; navíc podobná funkčnost dosahovaná pomocí formátu Flash nebo kdysi VRML také rozhodně nebyla prosta bezpečnostních rizik.

Čili je problém se SVG významný, nebo ne? Možné poučení: Objevující se doporučení, aby měl člověk určitý (jedno jaký) prohlížeč člověk vyhrazen výlučně pro internetové bankovnictví a podobně citlivé aplikace, k běžné práci používal pak jiný produkt.

Zdroj: CNet a další


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

Ransomware funguje a generuje útočníkům zisky

Pavel Houser , 23. únor 2017 16:45

Ransomware je stále více centralizovaný a několik významných malwarových rodin dominuje celému "trhu...

Více 0 komentářů

Loni rychle rostl prodej mobilů a chytrých hodinek

ČTK , 23. únor 2017 14:43

Prodej technického spotřebního zboží v Česku loni vzrostl o 2,2 procenta na 74 miliard korun. ...

Více 0 komentářů

KKCG a Foxconn zakládají fond pro investice do IT firem

ČTK , 23. únor 2017 14:33

V první fázi se na zaměří na Česko, Slovensko, Polsko, Rakousko a Německo....

Více 0 komentářů

Starší zprávičky

Náramky pro vězně dodá firma SuperCom za 93 milionů korun

ČTK , 23. únor 2017 10:00

Elektronické monitorovací náramky pro domácí vězně a některé obviněné dodá firma SuperCom. Vítěze so...

Více 1 komentářů

Blokování nelegálního hazardu na internetu není protiústavní

Pavel Houser , 22. únor 2017 13:22

Plénum Ústavního soudu zamítlo návrh skupiny 21 senátorů Senátu Parlamentu České republiky na zruš...

Více 0 komentářů

Amazon otevře v Polsku své páté logistické centrum

ČTK , 22. únor 2017 13:03

Česká pobočka firmy uvedla, že letos nabere v Dobrovízi u Prahy a ve své pražské kanceláři 1000 stál...

Více 0 komentářů

SpaceX a Boeing se možná zpozdí s dopravou lidí na ISS

ČTK , 22. únor 2017 09:30

Společnosti SpaceX a Boeing se možná zpozdí s nasazením svých lodí pro dopravu posádek na Mezinárodn...

Více 0 komentářů