På Adobes forespørsel, Hackers Nix 'clickjacking' Talk

Etter at Adobe Systems ba dem om å holde seg stille om funnene sine, har to sikkerhetsforskere trukket ut av et teknisk samtal hvor de skulle demonstrere hvordan de kunne ta kontroll over et offers nettleser ved å bruke et onlineangrep som kalles clickjacking. '

Robert Hansen og Jeremiah Grossman hadde blitt satt til å levere sin snakk neste uke på OWASP-konferansen (Open Web Application Security Project) i New York. Men beviset på konseptkoden de hadde utviklet for å vise hvordan deres clickjacking-angrep fungerte, avslørte en feil i en av Adobes produkter. Etter en uke med diskusjoner med Adobe bestemte forskerne seg forrige fredag ​​for å snakke.

Selv om Hansen og Grossman mener at clickjacking-feilen til slutt ligger i måten nettlesere er designet på, overbevist Adobe dem om å holde av med diskusjonen til de kunne frigjøre en oppdatering. "Adobe mener at de kan gjøre noe for å gjøre hacken vanskeligere," sa Grossman, CTO med White Hat Security, i et intervju.

Ved et clickjacking-angrep, traff angriperen offeret til å klikke på ondsinnede weblinker uten å innse det. Denne typen angrep har vært kjent i årevis, men hadde ikke blitt vurdert å være spesielt farlig. Sikkerhetseksperter hadde trodd at det kunne brukes til å begå reklameklikkbedrag eller å oppblåse Digg-karakterer for en nettside, for eksempel.

Imidlertid skjønte Hansen og Grossman, ved å skrive sin proof of concept-kode, at clickjacking faktisk var mer alvorlig enn de hadde tenkt.

"Da vi endelig bygget det og fikk bevis på konseptet, var det ganske stygg," sa Grossman. "Hvis jeg kontrollerer hva du klikker på, hvor mye dårlig kan jeg gjøre? Det viser seg at du kan gjøre en rekke virkelig, virkelig dårlige ting."

Verken Grossman eller Hansen, konsernsjef for konsulentvirksomhet SecTheory, ønsket å komme inn i detaljer av angrepet. Men Tom Brennan, OWASP-konferansearrangøren, sa at han har sett angrepskoden demonstrert, og at det tillater angriperen å ta full kontroll over offerets skrivebord.

Forskerne sier at de ikke ble presset av Adobe for å slippe deres snakk. "Dette er ikke noe ondt" mannen prøver å holde oss i hackere nede ", skrev Hansen mandag på bloggen sin.

Adobe sendte et notat og takket forskerne for å holde feilen privat og indikerte at Firmaet jobber med å patchere problemet.

Selv om avsløring av feilen kan hjelpe angripere, sa OWASPs Brennan at forskerne fortsatt skal fortsette og gi deres snakk for å gi IT-fagfolk en mulighet til å forstå den virkelige naturen av trusselen. "Det er et problem med nulldag i nettlesere som påvirker millioner av mennesker i dag," sa han. "Når en person diskuterer det, setter den alle på samme spillerom."

Hansen og Grossman sier at de også forventer at Microsoft lapper en relatert feil i Internet Explorer, og at mange andre nettlesere også påvirkes av clickjacking problemet. "Vi tror det er mer eller mindre et sikkerhetsproblem i nettleseren," sa Grossman.