臉書被盜救援記【理想Vlog】
下周在拉斯维加斯举行的黑帽计算机安全会议上,研究人员将演示他们开发的可从Facebook,eBay和Google等流行网站的用户窃取在线凭据的软件。
这种攻击依赖于一种新型的混合文件,它看起来像不同的程序不同的东西。通过将这些文件放置在允许用户上传自己图像的网站上,研究人员可以规避安全系统并接管使用这些网站的网民的帐户。
“我们已经能够想出一个Java “NGS软件公司研究副总裁John Heasman说,”所有的意图和目的都是一个图像,它们称这种类型的文件为GIFAR,GIF(图形交换格式)和JAR(Java归档),混合的两种文件类型。在黑帽会议上,研究人员将向与会者展示如何创建GIFAR,同时省略一些关键细节以防止它在任何广泛的攻击中被立即使用。
对于Web服务器,文件看起来完全像.gif文件,然而,浏览器的Java虚拟机会将其作为Java归档文件打开,然后将其作为小程序运行。这让攻击者有机会在受害者的浏览器中运行Java代码。就其本身而言,浏览器将这个恶意小程序看作是由网站开发人员编写的。
以下是攻击的工作原理:坏人会在这些流行的网站之一上创建一个配置文件 - 例如Facebook - 并在网站上将其GIFAR上传为图片。然后他们会欺骗受害人访问一个恶意网站,该网站会告诉受害者的浏览器打开GIFAR。此时,applet将在浏览器中运行,让坏人访问受害者的Facebook帐户。
攻击可以在允许用户上传文件的任何站点上运行,甚至可能在用于上载的网站上银行卡照片甚至亚马逊网站,他们说。
因为GIFAR是由Java打开的,所以它们可以在很多类型的浏览器中打开。
然而,有一个问题。受害者必须登录到托管映像的网站才能使攻击行得通。 Heasman说:“无论你长时间登录哪里,攻击都会发挥最好的作用。”有些方法可能会阻止GIFAR攻击。网站可以加强他们的过滤工具,以便他们能够发现混合文件。另外,Sun可以收紧Java运行时环境以防止发生这种情况。研究人员希望Sun在Black Hat谈话后不久就提出修复方案。但研究人员表示,虽然Java修补程序可能会禁用这一个攻击媒介,但恶意内容被放置在合法的Web应用程序上的问题很多更大更棘手的问题。安永会计师事务所的安永会计师事务所高级安全中心研究员内森•麦克费特斯表示:“还有其他方式可以做到这一点,其他技术也是如此。”从长远来看,Web应用程序将不得不控制内容,“McFeters说。 “这是一个Web应用程序问题,我们目前使用的Java攻击只是一个向量。”
他和他的黑帽演讲者都认为他们的谈话互联网已经断开。
最终,浏览器制造商将拥有对他们的软件进行一些根本性的改变,白帽安全公司首席技术官Jeremiah Grossman说。 “这不是因特网坏了,”他说。 “这就是浏览器的安全性被破坏了,浏览器的安全性实际上是一种矛盾。”