Et bilde som kan stjele din Facebook-konto

På Black Hat datasikkerhetskonferanse i Las Vegas neste uke, vil forskere vise programvare de har utviklet som kunne stjele online legitimasjon fra brukere av populære nettsteder som Facebook, eBay og Google.

Angrepet er avhengig av en ny type hybridfil som ser ut som forskjellige ting til forskjellige programmer. Ved å plassere disse filene på nettsteder som tillater brukere å laste opp sine egne bilder, kan forskerne omgå sikkerhetssystemene og overta regnskapene til web surfere som bruker disse nettstedene.

"Vi har klart å komme opp med en Java applet som for all hensikt er et bilde, sier John Heasman, visepresident for forskning ved NGS Software.

De kaller denne typen fil en GIFAR, en sammentrekning av GIF (grafikkutvekslingsformat) og JAR (Java Archive), de to filtyper som er blandet. På Black Hat vil forskerne vise deltakerne hvordan man lager GIFAR mens de unnlater noen viktige detaljer for å forhindre at den blir brukt umiddelbart i et utbredt angrep.

Filen ser akkurat ut som en.gif-fil, men en Java-virtuell maskin i en nettleser vil åpne den som en Java-arkivfil og deretter kjøre den som en applet. Det gir angriperen muligheten til å kjøre Java-kode i offerets nettleser. For sin del behandler nettleseren denne ondsinnede applet som om den ble skrevet av nettstedets utviklere.

Slik fungerer et angrep: De dårlige ville lage en profil på en av disse populære nettstedene - Facebook for eksempel - og last opp deres GIFAR som et bilde på nettstedet. Da ville de lure offeret til å besøke et ondsinnet nettsted, noe som ville fortelle offerets nettleser for å åpne GIFAR. På det tidspunktet vil appleten kjøre i nettleseren, og gi de dårlige gutta tilgang til offerets Facebook-konto.

Angrepet kan fungere på et hvilket som helst nettsted som gjør at brukere kan laste opp filer, potensielt til og med på nettsteder som brukes til å laste opp bankkortfotografier eller til og med Amazon.com, sier de.

Fordi GIFAR er åpnet av Java, kan de åpnes i mange typer nettlesere.

Det er imidlertid en fangst. Offeret må være logget inn på nettstedet som er vert for bildet for angrepet på jobb. "Angrepet skal fungere best hvor du forlater deg selv, logget inn i lengre perioder," sa Heasman.

Det finnes et par måter at GIFAR-angrepet kunne bli forstyrret. Nettsteder kan bøte opp sine filtreringsverktøy slik at de kunne se på hybridfilene. Alternativt kan Sun trekke opp Java-runtime-miljøet for å forhindre at dette skjer. Forskerne forventer at Sun skal komme med en løsning ikke lenge etter Black Hat-snakk. Men forskere sier at mens en Java-fix kan deaktivere denne angripsvektoren, er problemet med ondsinnet innhold plassert på legitime webapplikasjoner en mye større og tynnere problem. "Det vil være andre måter å gjøre dette på med andre teknologier," sier GIFAR-utvikleren Nathan McFeters, en forsker med Ernst & Youngs avanserte sikkerhetssenter.

"På lang sikt må webapplikasjoner ta kontroll over innholdet, sa McFeters. "Det er et webapplikasjonsproblem. Java-angrepet som vi bruker for øyeblikket, er bare en vektor."

Han og hans andre Black Hat-presentere har rett til å snakke. Internettet er ødelagt.

Til slutt vil nettlesere ha for å gjøre noen grunnleggende endringer i programvaren deres, sa Jeremiah Grossman, sjefsteknologsjef med White Hat Security. "Det er ikke at Internett er ødelagt," sa han. "Det er at nettleserens sikkerhet er ødelagt. Nettlesersikkerhet er virkelig en oxymoron."