24 órán belül már a második támadás a Facebook-felhasználók ellen
Ha nem megy másképp, kérd meg a felhasználót!
A Facebookon egyre gyakrabban bukkannak fel ugyanazt a trükköt használó alkalmazások, amelyek a böngészők same origin policy-jébe (SOP), és a Facebook fejlesztői interfészébe épített védelmeket nem feltörik, hanem egyszerűen megkerülik a felhasználó segítségével. Az SOP azt biztosítja, hogy egymás mellett futó, de különböző helyről származó (értsd: betöltött) alkalmazások (web oldalak) nem látják egymás bizalmas adatait (Cookie-k, változók), míg a Facebook api-ja (programozói felület) a Facebookon tárolt adatokhoz és szolgáltatásokhoz csak ellenőrzött és feljogosított kéréseket engedélyeznek.
A támadó alkalmazás a Facebookon különböző változatokban terjed: két kép között a különbségeket vagy egy nehéznek tűnő kérdésre a választ kell megtalálni, vagy mint a legutóbbi esetben, egy pluszszolgáltatás ígéretével (láthatod, ki nézte meg a profilodat) csapja be a felhasználót. Ami ezekben az alkalmazásokban közös, hogy a helyes válasz megjelenítéséhez vagy a kért funkció eléréséhez a felhasználó segítségét kéri: először a Ctrl-C-t kell leütni, majd az Alt-D, végül a Ctrl-V-t és ENTER-t kell leütni és kész.
Az ártatlan segítségnyújtással viszont éppen a beépített védelmeket kerüljük meg, amin a program magától nem tudna átjutni. Ugyanis a Ctrl-C leütésével egy előre kijelölt és kódolt javascript programot helyezünk a vágólapra, az Alt-D leütésével kiválasztjuk a navigációs sort, majd a Ctrl-V és ENTER párossal beillesztjük és lefuttatjuk a javascript programot.
Ami számunkra csak pár kattintásra és billentyűleütés távolságra van, az a böngészők fenti biztonsági védelmei miatt áthatolhatatlan messzeségben vannak, ugyanis a Facebookon az alkalmazás egy beágyazott korlátozott futtatókörnyezetben működik, ahonnan a Facebookot csak ellenőrzött és korlátozott programhívásokon keresztül tudja elérni. A javascript program böngészősorba való másolásával ezeket a védelmeket kerüli ki a felhasználó.
A javascript kód visszafejtésével kiderült működési mechanizmusa is: a bejelentkezett Facebookos felhasználó NEVÉBEN annak kattintásait programból emulálva úgy tesz, mintha a felhasználó használná a Facebook felületét. A vizsgált program ebben az esetben ártalmatlan dologra veszi rá a felhasználót: egy adott oldalt megjelölt kedvencünkként és ismerőseinknek is ajánlja azt. Ugyanakkor fontos megjegyezni, hogy ugyanezzel a technikával egyéb kártékony feladatot is el lehet végeztetni a felhasználó nevében és ezek az alkalmazások már valahol készülnek... Tekintsük úgy az elmúlt napok eseményeit, mint egy nagyobb terv tesztelését..
„Ennek a végül is ártalmatlan történetnek is van néhány fontos tanulsága” – vonta le a következtetést Bártfai Attila a kancellar.hu üzletfejlesztési igazgatója. Először is, aki még nem tudná, a böngésző címsorában is lehet programot futtatni, ami az adott oldalon elérhető minden védett tartalmat elér, ezért onnan javascriptet futtatni csak akkor szabad, ha tudjuk mit csinálunk. Minden olyan szöveget óvatosan kezeljünk, ami „javascript:” karakter sorozattal kezdődik. Ökölszabályként inkább ne is írjunk be ilyen kezdetű szövegeket a címsorba.
Másodszor, ismét egy jó példát látunk arra, hogy miért fontos a tervezés során már a biztonsági szempontokat figyelni. A címsorban való programfuttatás egy nem kellően végiggondolt ötlet, aminek meglétét nem támasztja alá valós forgatókönyv.
Néhány böngészőt megvizsgálva sajnos nincs nyoma annak, hogy a javascriptet szelektíven a címsorban lehetne tiltani. Azaz vagy letiltjuk teljesen és akkor újra a web hőskorában találjuk magunkat, gyakorlatilag használhatatlan webbel, vagy engedjük teljesen és figyelünk arra, amit csinálunk. Mi ez utóbbit javasoljuk most és úgy általában is.
Kapcsolódó cikkek
- A Google után a Facebook is kapitulált a német adatvédelmi törvények előtt
- 6 milliárd dolláros reklámbevételt könyvelhetnek el az idén a közösségi szájtok
- Díjat nyert a KÜRT H2O programja
- Fekete adatkereskedelem a Facebookon és a Twitteren
- Érzékelhető növekedés a magyarországi információbiztonsági auditok számában
- 2.6 millió magyar a Facebookon!
- Egyesített végpontmenedzsment –
- ICSA Labs tanúsítványt kapott a VirusBuster
- Biztonsági szoftvertermékeket vásárol az SAP a SECUDE-tól
- A Google a Yahoo és a Facebook kezdi az IPv6-os webcímek tesztelését
IT ROVAT TOVÁBBI HÍREI
Prémium gaming élmény a felhasználóknak
A 48,9" hüvelykes (124,3 cm) Philips Evnia 49M2C8900L gaming monitor tele van erőteljes funkciókkal: QD-OLED panel, 32:9 SuperWide kijelző, 5120x1440 felbontás, 144 Hz, Ambiglow és DTS hangzás teszik a kiváló minőségű Evnia 8000 sorozat új tagját igazán figyelemfelkeltővé.
A pénzügyi bűnözés jövője: miért kulcsfontosságú az információ-vezérelt kockázatkezelés?
Az utóbbi időben a pénzügyi bűnözés elleni küzdelem jövőbeli keretrendszerének alapjaként, az információ-vezérelt kockázatkezelés kiemelten fontossá vált. A hagyományos kockázatkezelési módszerek elavultak, nem megfelelő eredményt hoznak és így komoly kockázatokat jelentenek a szervezeteknek – állapítja meg a Deloitte friss tanulmánya.
Érkeznek az Arctis Nova termékcsalád legújabb tagjai
A SteelSeries, az úttörő Arctis Nova headsetsorozat megalkotója, az eredeti esport márka, amely egyesíti a gaminget a kultúrával, és a gaming- és esport-perifériák világelső gyártója kibővítette az Arctis Nova termékcsaládot az Arctis Nova 5 sorozatú headsetek és a Nova 5 Companion App bevezetésével.
Az AGON by AOC bővíti az új G4 gaming termékcsaládot
Az AGON by AOC – a világ egyik vezető gaming monitor* és IT-kiegészítő márkája – bemutatja a G4 sorozat legújabb tagjait az elismert AOC GAMING portfólióból, a 23,8 hüvelykes (60,5 cm) 24G4XE és a 27 hüvelykes (68,6 cm) 27G4XE modelleket. Az idén bemutatott, formabontó, lopakodó repülőgépek által inspirált dizájnnal rendelkező új G4 sorozat, a 24G4X és 27G4X állítható magasságú Full HD modellekkel, valamint a QHD Q27G4X modellel, már elérhető a piacon.
NIS2 visszaszámlálás: Másfél hónapjuk van a vállalatoknak a NIS2 nyilvántartásba vételre
A NIS2 direktíva számos követelményt fogalmaz meg az EU-tagállamok kiber- és információbiztonságára vonatkozóan. Magyarországon a „2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről”, azaz a „Kibertan-törvény” implementálja a direktíva rendelkezéseit, melynek értelmében az érintett vállalatoknak 2024. június 30-ig regisztrálniuk kell magukat a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által kijelölt online felületen.