SVG umí sledovat podobně jako JavaScript

Pavel Houser , 12. leden 2012 08:30 0 komentářů

Keyloggery mohou fungovat různě. Podle nově objevené metody útoků lze údajně sledovat klávesy stisknuté uživatelem prohlížeče i v případě, že má vypnutý JavaScript. Špionážním objektem je v tomto případě speciálně upravený soubor ve formátu SVG.

Objevitel a bezpečnostní výzkumník Mario Heiderich se pře s Mozillou o to, zda/jak je tímto způsobem zranitelný Firefox. Podle Heidericha vstupujeme do post-XSS světa, když klasické cross site scripting metody založené na JavaScriptu již byly do značné míry eliminovány různými no script doplňky, sandboxy apod.

Jeremiah Grossman, CTO v bezpečnostní firmě White Hat Security, souhlasí s tím, že bez ohledu na tuto konkrétní kauzu budou útočníci stále častěji využívat i metody nepracující s JavaScriptem.

Pomocí SVG souboru lze spojit stisknutí klávesy s žádostí na odpovídající stránku (po vzoru "a" odpovídá podvodnyweb/a apod.). Uživatel sám ve své rozhraní si přitom těchto spojení nebude nijak vědom, monitoring sítě je samozřejmě zaznamená. Záznam kláves pak bude obsažen v log-souborech webserveru.

Je ale otázka, zda zrovna tahle metoda bude mít nějaký praktický význam, když oběti lze zmást tolika jinými a zřejmě jednoduššími způsoby. Faktem je, že keylogger na rozdíl od deskotopové aplikace takto může být těžko zachycen antivirem; stránku s podvodných SVG souborem může zablokovat leda webový štít.

Kritika, že standard SVG byl zaveden příliš překotně, bez vědomí bezpečnostních rizik, je asi oprávněná jen částečně - viz jak dlouho se na vektorovou grafiku na webu čekalo; navíc podobná funkčnost dosahovaná pomocí formátu Flash nebo kdysi VRML také rozhodně nebyla prosta bezpečnostních rizik.

Čili je problém se SVG významný, nebo ne? Možné poučení: Objevující se doporučení, aby měl člověk určitý (jedno jaký) prohlížeč člověk vyhrazen výlučně pro internetové bankovnictví a podobně citlivé aplikace, k běžné práci používal pak jiný produkt.

Zdroj: CNet a další


Komentáře

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

Vodafone testuje se svými zákazníky zařízení pro NB-IoT

Pavel Houser , 25. duben 2017 18:03

Úzkopásmový Internet věcí má využití v průmyslu, dopravě, ale i službách pro koncové uživatele....

Více 0 komentářů

Zakladatel Wikipedie vytváří zpravodajskou platformu Wikitribune

ČTK , 25. duben 2017 18:03

Zakladatel internetové encyklopedie Wikipedia Jimmy Wales vytváří zpravodajskou platformu Wikitribun...

Více 0 komentářů

JIC investuje do spin-offu z CEITEC VUT z oblasti elektronové mikroskopie

Pavel Houser , 25. duben 2017 08:00

Jihomoravské inovační centrum věří, že trh s nanotechnologiemi poroste. Proto investuje do firmy Nen...

Více 0 komentářů

Starší zprávičky

EK prý zvažuje legislativní kroky v boji proti projevům nenávisti

ČTK , 24. duben 2017 16:00

Evropská komise zvažuje legislativní kroky k harmonizaci metod, kterými internetové platformy jako F...

Více 5 komentářů

Rusko prý špehovalo e-maily příslušníků dánské armády

ČTK , 24. duben 2017 14:00

Rusko pomocí skupiny hackerů proniklo do systémů dánské armády a v letech 2015 a 2016 mělo přístup k...

Více 1 komentářů

Philipsu vzrostl čtvrtletní zisk o 18 %, překonal očekávání

ČTK , 24. duben 2017 11:43

Nizozemskému výrobci elektroniky Philips se zvýšil čtvrtletní zisk o 18 procent na 442 milionů eur (...

Více 0 komentářů

Baterie se vozí loděmi, jsou kvůli tomu dražší?

Pavel Houser , 24. duben 2017 10:47

Dříve byly akumulátory přepravovány jako běžné zásilky, před 5 lety ale byly přeřazeny do kategorie ...

Více 2 komentářů