Tra le tante novità che potremo vedere alla Black Hat Security Conference di Las Vegas che si terrà la settimana prossima, alcuni ricercatori di NGSSoftware mostreranno come sia possibile carpire le credenziali di accesso dei più famosi servizi web (eBay, Google, Facebook) utilizzando una semplice immagine. 
Gli sviluppatori sono riusciti a creare un nuovo tipo di file ibrido che prende il nome di GIFAR, così chiamato in quanto è l'unione dei due formati: immagini GIF ed archivi eseguibili JAR.
Caricando questi file su siti web che permettono l'upload di immagini, è possibile carpire i dati d'accesso degli utenti registrati: i tradizionali meccanismi di validazione vengono infatti aggirati, poiché il server web riconosce il file caricato come normale immagine GIF.
Al contrario, nel momento in cui l'utente apre la pagina web che ospita il file malformato, il browser web identifica GIFAR come applet Java, e ne permette l'esecuzione tramite la Java Virtual Machine nello stesso contesto del sito web corrente, autorizzando così l'accesso a cookie e possibilmente altre informazioni di autenticazione relative alla pagina in questione.
Proprio per questo, perché l'attacco sia efficace, è necessario che l'utente-vittima abbia eseguito log-in al sito web che ospita il file GIFAR.
Il blog di Zdnet afferma che le combinazioni di formati per creare una GIFAR sono due, oltre a quello già visto. Infatti, anche le immagini JPG e i documenti DOC possono essere alterati per nascondere applet Java.
La soluzione di fondo sarebbe a carico delle singole applicazioni web, che dovrebbero accertarsi di verificare il corretto formato dei file caricati procedendo al parsing completo delle immagini caricate.
Ad ogni modo, sebbene non sia strettamente un problema di Java, Sun rilascerà probabilmente una versione aggiornata Java Virtual Machine in grado di rilevare la manomissione e prevenire l'esecuzione del codice malevolo.
Nel frattempo, alla conferenza di sicurezza di Las Vegas, alcuni passaggi necessari per creare i file GIFAR saranno omessi, proprio per evitare il proliferare di attacchi di questo tipo su larga scala durante l'attesa di una soluzione.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati