På Adobes Request, Hackers Nix 'clickjacking' Talk

Efter at Adobe Systems bad dem om at holde sig rolige om deres resultater, har to sikkerhedsforskere trukket sig ud af en teknisk tale, hvor de skulle demonstrere, hvordan de kunne gribe kontrol over et offers browser ved hjælp af et onlineangreb kaldet 'clickjacking'. '

Robert Hansen og Jeremiah Grossman var blevet sat til at aflevere deres tale næste uge på OWASP-konferencen (Open Web Application Security Project) i New York. Men beviset på konceptkoden, de havde udviklet for at vise, hvordan deres clickjacking-angreb fungerede, afslørede en fejl i en af ​​Adobes produkter. Efter en uge med diskussioner med Adobe besluttede forskerne i fredags at trække samtalen. Selvom Hansen og Grossman mener, at clickjacking-fejlen i sidste ende ligger i den måde, internet browsere er designet på, overbeviste Adobe dem om at holde fast ved deres diskussion indtil de kunne frigive en patch. "Adobe mener, at de kan gøre noget for at gøre hacket hårdere," sagde Grossman, CTO med White Hat Security, i et interview.

I et clickjacking-angreb trænger angriberen til at klikke på ondsindede weblinks uden at indse det. Denne type angreb har været kendt i årevis, men blev ikke betragtet som særlig farlig. Sikkerhedseksperter havde troet, at det kunne bruges til at forpligte reklamer med at klikke på svig eller til at opblæs Digg-ratings for en webside, for eksempel.

Men ved at skrive deres proof of concept-kode indså Hansen og Grossman, at clickjacking faktisk var mere alvorligt, end de først havde tænkt. "

" "Da vi endelig bygget det og fik bevis for konceptet, var det ret vildt," sagde Grossman. "Hvis jeg kontrollerer, hvad du klikker på, hvor meget dårlig kan jeg gøre? Det viser sig, at du kan gøre en række virkelig, virkelig dårlige ting."

Hverken Grossman eller Hansen, administrerende direktør for konsulentvirksomhed SecTheory, ønskede at komme ind i detaljer af deres angreb. Imidlertid sagde Tom Brennan, OWASP-konferencearrangøren, at han har set angrebskoden demonstreret, og at det tillader angriberen at tage fuld kontrol over offerets skrivebord.

Forskerne siger, at de ikke blev presset af Adobe for at droppe deres tale. "Dette er ikke ondt," manden forsøger at holde os hackere nede "situation," skrev Hansen mandag på sin blog.

Adobe sendte en mandag til mandag, og takkede forskerne for at holde fejlen privat og indikerede, at Virksomheden arbejder på at lappe problemet.

Selvom afsløring af fejlen kan hjælpe angriberne, sagde OWASPs Brennan, at forskerne stadig skal fortsætte og give deres taler for at give it-fagfolk mulighed for at forstå den reelle karakter af truslen. "Der er et nul-dags problem i browsere, der påvirker millioner af mennesker i dag," sagde han. "Når en person diskuterer det, sætter den alle på samme spillerum."

Hansen og Grossman siger, at de også forventer, at Microsoft laver en relateret fejl i Internet Explorer, og at mange andre browsere også påvirkes af clickjacking problemet. "Vi tror, ​​det er mere eller mindre et browser sikkerhedsproblem," Grossman sagde.