Keyloggery mohou fungovat různě. Podle nově objevené metody útoků lze
údajně sledovat klávesy stisknuté uživatelem prohlížeče i v případě,
že má vypnutý JavaScript. Špionážním objektem je v tomto případě
speciálně upravený soubor ve formátu SVG.
Objevitel a bezpečnostní výzkumník Mario Heiderich se pře s Mozillou o to, zda/jak je tímto způsobem zranitelný Firefox. Podle Heidericha
vstupujeme do post-XSS světa, když klasické cross site scripting
metody založené na JavaScriptu již byly do značné míry eliminovány
různými no script doplňky, sandboxy apod.
Jeremiah Grossman, CTO v bezpečnostní firmě White Hat Security,
souhlasí s tím, že bez ohledu na tuto konkrétní kauzu budou útočníci
stále častěji využívat i metody nepracující s JavaScriptem.
Pomocí SVG souboru lze spojit stisknutí klávesy s žádostí na
odpovídající stránku (po vzoru „a“ odpovídá podvodnyweb/a apod.).
Uživatel sám ve své rozhraní si přitom těchto spojení nebude nijak
vědom, monitoring sítě je samozřejmě zaznamená. Záznam kláves pak bude obsažen v log-souborech webserveru.
Je ale otázka, zda zrovna tahle metoda bude mít nějaký praktický
význam, když oběti lze zmást tolika jinými a zřejmě jednoduššími
způsoby. Faktem je, že keylogger na rozdíl od deskotopové aplikace
takto může být těžko zachycen antivirem; stránku s podvodných SVG
souborem může zablokovat leda webový štít.
Kritika, že standard SVG byl zaveden příliš překotně, bez vědomí
bezpečnostních rizik, je asi oprávněná jen částečně – viz jak dlouho
se na vektorovou grafiku na webu čekalo; navíc podobná funkčnost
dosahovaná pomocí formátu Flash nebo kdysi VRML také rozhodně nebyla
prosta bezpečnostních rizik.
Čili je problém se SVG významný, nebo ne? Možné poučení: Objevující se doporučení, aby měl člověk určitý (jedno jaký) prohlížeč člověk
vyhrazen výlučně pro internetové bankovnictví a podobně citlivé
aplikace, k běžné práci používal pak jiný produkt.
Zdroj: CNet a další