Végzetes böngészős kártevőt mutatott be egy magyar kutató
Magyar IT-biztonsági kutató mutatott be egy távolról vezérelhető károkozót, ami böngészőkiegészítőként fut, de képes weboldalak tartalmának megjelenítését módosítani, fájlokat indítani, fiókadatokat lopni, sőt, képes kijátszani kétlépcsős azonosítást is.
Balázs Zoltán, a Deloitte IT-biztonsági szakértője olyan proof-of-concept kártevőt készített, amivel fel szeretné hívni a figyelmet a böngészők beépülő moduljainak biztonsági hiányosságaira, amit még a vírusvédelmi iparág sem kezel kellő komolysággal. A kutató azt tervezi, hogy a kártevő forráskódját a GitHubon teszi közzé jövő héten a prezentációja alatt, amit a Hacker Halted biztonsági konferenciáján tart a floridai Miamiban. Az nagyobb antivírus szoftverek gyártóival az információt már megosztotta a kutató, így a jövő heti publikálás után már komoly károkat ez az adott kód nem okozhat élesben.
Lila köd
Korábban is volt már arra példa, hogy bűnözők kártékony böngészőkiegészítőket használtak, tavaly például a Wikimedia Foundation jelezte, hogy egy terjedő Google Chrome kiegészítő hirdetéseket helyez el a Wikipedia oldalakon. A magyar szakértő által bemutatott megoldás azonban ennél sokkal messzebb képes menni. A demonstrációs célra létrehozott Firefox, Chrome és Safari alatt működő kiegészítők (később érkezik az IE változat is) képesek session cookie-kat ellopni és be tudnak avatkozni a kétlépcsős azonosítás folyamatába is, például abba, amit a Google használ. Így a bűnözők könnyen képesek begyűjteni belépési adatokat számtalan webes szolgáltatásnál.
A Firefoxon futó verzió ezen felül képes jelszavakat is lopni a böngésző beépített jelszótárolójából, sőt, tud fájlokat letölteni és elindítani is Windows operációs rendszer alatt. Tudja módosítani a weboldalak megjelenő tartalmát, tud képernyőmentést csinálni, de fotót is a webkamerával a böngészőben futó Flash komponensen keresztül. A kártevő HTTP proxyként viselkedik, ami lehetővé teszi, hogy a támadó kommunikáljon a szerverrel az áldozat belső hálózatán keresztül.
Minden böngésző érintett
Mivel a Firefox platformokon átívelő megoldásokat használ, ezért ugyan csökkentett funkcionalitással, de a trükkök működnek Firefox for Android alatt is. Az operációs rendszer korlátozásai miatt bizonyos dolgok nem működnek, cserébe viszont a kiegészítő pontos helyadatokat képes szolgáltatni. A Chrome-verzió egyelőre nem tud fájlokat letölteni és futtatni, de ez nem azt jelenti, hogy ne lenne lehetséges, egyszerűen a magyar kutatónak még nem volt ideje implementálni ezeket a képességeket - írja az amerikai Computerworld.
Mivel a Chrome támogatja a Native Client sandbox technológiát, ami lehetővé teszi a webes alkalmazásoknak, hogy C vagy C++ kódot futtassanak a böngészőben, ezért itt megoldható az is, hogy a böngészőbe épülő kiegészítő hatékonyan törjön jelszavakat hash adatokból. A Safari verzió pedig azért egyszerű, mert a Chrome kiegészítők egyszerű automatizmusokkal konvertálhatóak oda.
A megfertőzött böngésző pontosan úgy irányítható, mint egy botnet kliens, a kiegészítő egy weboldalról kapja az utasításokat és az információt HTTP-n keresztül tölti vissza a támadóknak. Mivel ez teljesen semlegesnek tűnő HTTP forgalomnak látszik, ezért helyi és hálózati szinten is nagyon nehéz, szinte lehetetlen szűrni. A helyzetet súlyosbítja, hogy ez gyakorlatilag már nem is számítógépekre korlátozza a hatalomátvételt, hanem általában véve felhasználót fertőz, mivel egyes böngészők képesek több eszköz között szinkronizálni a beállításokat, kiegészítőket, így a kártevő például az otthoni, vagy éppen a munkahelyi gépre is automatikusan átköltözhet.
Terjesztés
A terjesztés nehézsége azonban változó a különböző böngészőknél. A Firefox esetében a legegyszerűbb módszer a social engineering, azaz a felhasználó becsapása, az emberi gyengeség kihasználása. Egy weboldalon keresztül kezdeményezzük a telepítést, a felhasználóval pedig el kell hitetni, hogy az általa várt tartalom betöltődésének előfeltétele ez a lépés. Chrome esetében nehezebb a helyzet, ott kizárólag a hivatalos web store-ból lehet telepíteni kiegészítőt, így a fenti módszer csak akkor működik, ha sikerül a katalógusba bejuttatni a kártevőt. Mindkét böngészőnél lehetséges viszont az offline telepítés: egyszerűen be kell másolni a fájlokat a megfelelő mappákba és módosítani a konfigurációs állományokat. Ehhez csupán annyi kell, hogy a támadónak már eleve legyen kódfuttatási jogosultsága, amit egy másik kártevővel távolról is el lehet érni.
Hyperscaler vagy hazai felhő? Lehet, hogy nem kell választani! Egy jól felépített hibrid vagy multicloud modellben a különböző felhők nem versenytársai, hanem kiegészítői egymásnak.
A figyelmes felhasználót persze még akkor sem lehet átverni, ha véletlenül elindul a folyamat. A Chrome-ban egyáltalán nincs csendes telepítés, de a Firefox is jelzi, listázza az új vagy megváltozott kiegészítőket. Balázs Zoltán szerint szükségszerű lenne, hogy a Mozilla és az Apple is korlátozza egy központi piactérre a telepítéseket, illetve az antivírus cégeknek is sokkal jobban oda kellene figyelni erre a területre.
Miután a kutató bemutatta az antivírus fejlesztőknek a kódot, s azok beillesztették az új mintát a felismerő algoritmusba, az egy egyszerű kódmódosítás után újra láthatatlan volt. A biztonsági szoftverek jelenleg értékelhetetlen teljesítményt nyújtanak az ilyen kártevők észlelésében.