Et foto der kan stjæle din Facebook-konto

På Black Hat computerens sikkerhedskonference i Las Vegas i næste uge vil forskere demonstrere software, de har udviklet, der kunne stjæle online legitimationsoplysninger fra brugere af populære websteder som Facebook, eBay og Google.

Angrebet er baseret på en ny type hybridfil, der ligner forskellige ting til forskellige programmer. Ved at placere disse filer på websteder, der giver brugerne mulighed for at uploade deres egne billeder, kan forskerne omgå sikkerhedssystemerne og overtage regnskaberne for websurfere, der bruger disse websteder.

"Vi har kunnet komme med en Java applet, der for alle formål er et billede, "siger John Heasman, vicepræsident for forskning på NGS Software.

De kalder denne type fil en GIFAR, en sammentrækning af GIF (grafikudvekslingsformat) og JAR (Java Archive), de to filtyper, der er blandet. På Black Hat vil forskerne vise deltagerne, hvordan man opretter GIFAR, mens de udelader et par vigtige detaljer for at forhindre det i at blive brugt straks i et udbredt angreb.

Filen ser ud som en.gif-fil, men en browsers Java virtuelle maskine åbner den som en Java Archive-fil og derefter kører den som en applet. Det giver angriberen mulighed for at køre Java-kode i offerets browser. Browser behandler denne skadelige applet som om den var skrevet af webstedets udviklere.

Sådan fungerer et angreb: De onde gutter ville skabe en profil på et af disse populære websteder - f.eks. Facebook - og upload deres GIFAR som et billede på webstedet. Så ville de narre offeret til at besøge et ondsindet websted, hvilket ville fortælle offerets browser at åbne GIFAR. På det tidspunkt ville appleten køre i browseren, hvilket giver de onde fyre adgang til offerets Facebook-konto.

Angrebet kunne arbejde på ethvert websted, der giver brugerne mulighed for at uploade filer, muligvis endda på websteder, der bruges til at uploade bankkort fotos eller endda Amazon.com, siger de.

Da GIFAR'er åbnes af Java, kan de åbnes i mange typer browsere.

Der er dog en fangst. Ofret skal være logget ind på hjemmesiden, der er vært for billedet til angrebet på arbejde. "Angrebet vil fungere bedst, uanset hvor du forlader dig selv logget ind i lange perioder," sagde Heasman.

Der er et par måder, som GIFAR-angrebet kunne blive imødegået. Websider kunne øge deres filtreringsværktøjer, så de kunne få øje på hybridfilerne. Alternativt kan Sun styrke Java-runtime-miljøet for at forhindre dette. Forskerne forventer, at Sun skal finde en løsning, ikke længe efter sin Black Hat-tale.

Men forskere siger, at mens en Java-løsning kan deaktivere denne ene angrebsvektor, er problemet med ondsindet indhold placeret på legitime webapplikationer meget større og tyndere problem. "Der vil være andre måder at gøre dette på med andre teknologier", siger GIFAR-udvikleren Nathan McFeters, en forsker med Ernst & Young's Advanced Security Center.

"På lang sigt skal webapplikationer tage kontrol over indholdet ", sagde McFeters. "Det er et webapplikationsproblem. Det Java-angreb, som vi bruger i øjeblikket, er kun én vektor."

Han og hans kolleger Black Hat-præsentanter har ret til deres tale. Internettet er brudt.

I sidste ende vil browserproducenterne have at gøre nogle grundlæggende ændringer til deres software også, siger Jeremiah Grossman, chefstekniker med White Hat Security. "Det er ikke, at internettet er brudt," sagde han. "Det er, at browsersikkerheden er brudt. Browsersikkerhed er virkelig en oxymoron."