Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Új frissítések érkeztek!

2014.01.22. 15:14 | buherator | Szólj hozzá!

Több helyen is megjelent, hogy a viagraárusok újabban Chrome kiegészítőkön keresztül tolják a felhasználók arcába az Internet legjavát. A trükk az, hogy a reklámok olyan, eredetileg teljesen jószándékú kiterjesztéseken keresztül érkeznek, melyek jogait a spammerek megvették az eredeti fejlesztőktől. 

A dolog több szempontból is érdekes. Egyrészt ugyanez a játék bármelyik másik, automatikus kiegészítőfrissítést támogató böngészővel eljátszható, szóval ha a Google elkezdi hatékonyan szűrni az ilyen adware-eket, a terjesztők feltehetően áttérnek majd Firefoxra is, ami még több aggodalomra adhat okot, ahogy tanult kollegám, Z fogalmaz:

Firefox-ban semmilyen jogosultságkezelés sincs (pl. ez a kiegészítő engedélyt kér ahhoz hogy ...), illetve semmilyen értelmes sandbox sincs, gyakorlatilag user jogokkal bármit meg lehet tenni. A másik probléma, hogy nincs központilag kikényszerített extension store.

Persze egy megfelelően korlátozott kiterjesztés-API/sandbox sem ér sokat, ha életünk nagy részét amúgy is a böngészőben éljük, és

[A] jelszólopás mindenhol működik, form injection mindenhol működik, bináris malware droppolása és indítása csak Firefox Windows alatt, és végül fájlok olvasása/írása csak Firefox alatt.

A kevésbé jelentős (otthoni) bázissal rendelkező böngészőket tekintve:

Safari OSX alatt: 
Sok kártékony funkciót azért nem lehet megtenni, mert új még a Safari-ban az extension fogalma, és nem készítettek API-t hozzá. Ez egyelőre biztonságos, de a későbbiekben nem tudni hogyan változik. Jogosultságkezelés nincs, sandboxing van de nem ismert túl sok részlet, csak aláírt extension telepíthető (ehhez érvényes Apple developer ID kell), de nincs kikényszerítve a központi extension store. Az extension aláírás is megkerülhető, pl. vannak olyan webes alkalmazások ahol az ember megadja a saját Safari extension forráskódját és rendes aláírt Safari extension-t kap a HTTP válaszban :)
Internet Explorer: nehéz az IE kiegészítőket (BHO) összehasonlítani a többi böngészővel, mivel itt onnan indul a telepítés, hogy egy bináris fájlt kell elindítani, ami telepíti a bináris kiegészítőt [ami általában DLL-ként töltődik be az alacsony intergritású processzekbe - a szerk.]. A kockázatos dolgokat, mint jelszólopás, sütilopás, form injection, stb. természetesen egy IE BHO bármikor tud. Mivel először bináris állományt kell futtatni a telepítéshez, így szerintem nincs értelme a "hogyan török ki a böngészőből" típusú kérdéseknek (és egyébként sem vizsgáltam). 

Egy remek összefoglaló a különböző böngészők kiegészítőinek lehetőségeiről itt érhető el, szintén Z jóvoltából.

Egy szóval a mostani kampány feltehetően nem a Chrome biztonságának, inkább piaci elterjedtségének indikátora.

Magasabb szinten vizsgálva a kérdést itt lényegében egy TOC-TOU problémáról van szó, csak már gyakorlatilag a felhasználó szintjén (layer 8), ez a veszélyforrás pedig más szoftveres környezetben is jelen lehet, amennyiben:

  • A felhasználó független fejlesztőtől származó kóddal egészítheti ki az alaprendszert
  • A telepített "kisalkalmazások" automatikusan frissülnek - itt nem kell feltétlenül a Chrome-éhoz hasonló, teljesen csendes településre gondolnunk, hiszen a felhasználók gyakorlatilag soha nem ellenőrzik a frissítéseket forrás/gépi kód szinten.
  • A "kisalkalmazások" beszerzése nem megfelelően ellenőrzött forrásból történik - erről kicsit később

Rövid gondolkodás után az alábbi területeken is teljesen analóg támadások képzelhetők el:

  • Facebook alkalmazások
  • Alternatív AppStore-ok - az origi AppStore-ban eléggé allergiásak arra, ha egy app új funkcionalitás tud magába tölteni (ld. pl. a C64 emulátor esete), így az Apple hivatalos boltjában jól hasznosítható appot találni elég reménytelen
  • Android alkalmazások (megfelelően megengedő beállítások mellett)

A lista minden bizonnyal folytatható, a "csinájunk mindenből okostelefont" mánia pedig várhatóan egyre több sérülékeny architektúrát fog kitermelni. 

Védekezni leginkább a böngészők körültekintő megválogatásával ("biztosan szükségem van erre?") illetve a telepített kiegészítők (alkalmazások) rendszeres felülvizsgálatával, és a gyengék könyörtelen purgálásával lehet. 

A poszt létrejöttének támogatásáért köszönet jár Csabnak és Z-nek.

Címkék: spam firefox safari böngésző internet explorer malware adware google chrome

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.