SVG umí sledovat podobně jako JavaScript

Pavel Houser , 12. leden 2012 08:30 0 komentářů

Keyloggery mohou fungovat různě. Podle nově objevené metody útoků lze údajně sledovat klávesy stisknuté uživatelem prohlížeče i v případě, že má vypnutý JavaScript. Špionážním objektem je v tomto případě speciálně upravený soubor ve formátu SVG.

Objevitel a bezpečnostní výzkumník Mario Heiderich se pře s Mozillou o to, zda/jak je tímto způsobem zranitelný Firefox. Podle Heidericha vstupujeme do post-XSS světa, když klasické cross site scripting metody založené na JavaScriptu již byly do značné míry eliminovány různými no script doplňky, sandboxy apod.

Jeremiah Grossman, CTO v bezpečnostní firmě White Hat Security, souhlasí s tím, že bez ohledu na tuto konkrétní kauzu budou útočníci stále častěji využívat i metody nepracující s JavaScriptem.

Pomocí SVG souboru lze spojit stisknutí klávesy s žádostí na odpovídající stránku (po vzoru "a" odpovídá podvodnyweb/a apod.). Uživatel sám ve své rozhraní si přitom těchto spojení nebude nijak vědom, monitoring sítě je samozřejmě zaznamená. Záznam kláves pak bude obsažen v log-souborech webserveru.

Je ale otázka, zda zrovna tahle metoda bude mít nějaký praktický význam, když oběti lze zmást tolika jinými a zřejmě jednoduššími způsoby. Faktem je, že keylogger na rozdíl od deskotopové aplikace takto může být těžko zachycen antivirem; stránku s podvodných SVG souborem může zablokovat leda webový štít.

Kritika, že standard SVG byl zaveden příliš překotně, bez vědomí bezpečnostních rizik, je asi oprávněná jen částečně - viz jak dlouho se na vektorovou grafiku na webu čekalo; navíc podobná funkčnost dosahovaná pomocí formátu Flash nebo kdysi VRML také rozhodně nebyla prosta bezpečnostních rizik.

Čili je problém se SVG významný, nebo ne? Možné poučení: Objevující se doporučení, aby měl člověk určitý (jedno jaký) prohlížeč člověk vyhrazen výlučně pro internetové bankovnictví a podobně citlivé aplikace, k běžné práci používal pak jiný produkt.

Zdroj: CNet a další


Komentáře

RSS 

Komentujeme

Deset minut s Einsteinem

Richard Jan Voigts , 18. listopad 2017 10:45
Richard Jan Voigts

Při návštěvě Švýcarska jsme strávili den na Eidgenoessiche Technische Hochschule Zurich – Swiss Fede...

Více







RSS 

Zprávičky

Prodeje potravin přes internet jsou v ČR třetí nejvyšší v Evropě

ČTK , 18. listopad 2017 08:00

Další inovace? Nabízí se např. doručování až domů bez přítomnosti majitele......

Více 0 komentářů

Slovenské soudy zakázaly přístup k více než 30 webům s hazardem

ČTK , 17. listopad 2017 09:00

Podobnou úpravu proti nepovoleným hazardním hrám jako Slovensko uplatňují i další členské země EU....

Více 1 komentářů

Foxconnu klesl čtvrtletní zisk o 39 %

ČTK , 17. listopad 2017 08:00

V důsledku slabého zájmu o iPhone 8 a problémům při výrobě iPhone X akcie společnosti za poslední tř...

Více 0 komentářů

Starší zprávičky

MPSV odstoupilo od zakázky na systém dávek za stovky milionů Kč

ČTK , 16. listopad 2017 17:45

Nový systém pro vyplácení dávek za stovky milionů korun úřady práce příští rok mít nebudou. ...

Více 0 komentářů

Europoslanci schválili větší ochranu při nákupech v e-shopech

ČTK , 16. listopad 2017 09:00

Nedůvěra spotřebitelů k nákupu v zahraničí stále přetrvává....

Více 0 komentářů

Apple ovládl trh s nositelnou elektronikou

ČTK , 16. listopad 2017 08:00

Apple v počtu prodaných kusů dosud zaostával za výrobci levnějších fitness náramků....

Více 0 komentářů

Rok 2018 bude pro kontaktní centra ve znamení automatizace a IoT

Pavel Houser , 15. listopad 2017 11:00

Bosch do svých praček montuje snímače, které odhalí, že se buben otáčí 5 000 otáček za minutu namíst...

Více 0 komentářů