صورة يمكن أن تسرق حسابك على Facebook

في مؤتمر "بلاك هات" لأمن الكمبيوتر في لاس فيغاس الأسبوع المقبل ، سيعرض الباحثون برمجيات قاموا بتطويرها والتي يمكن أن تسرق بيانات الاعتماد على الإنترنت من مستخدمي مواقع الويب الشهيرة مثل فيسبوك و eBay و Google.

يعتمد الهجوم على نوع جديد من الملفات المختلطة التي تبدو وكأنها أشياء مختلفة لبرامج مختلفة. من خلال وضع هذه الملفات على مواقع الويب التي تسمح للمستخدمين بتحميل صورهم الخاصة ، يمكن للباحثين التحايل على الأنظمة الأمنية والسيطرة على حسابات متصفحي الويب الذين يستخدمون هذه المواقع.

"لقد تمكنا من التوصل إلى جافا يقول John Heasman ، نائب رئيس الأبحاث في NGS Software.

إنهم يسمون هذا النوع من الملفات GIFAR ، وهو تقلص لصيغة GIF (تنسيق تبادل الرسومات) و JAR (أرشيف Java)) ، واثنين من أنواع الملفات التي يتم خلطها. في Black Hat ، سيعرض الباحثون الحاضرين كيفية إنشاء GIFAR مع حذف بعض التفاصيل الأساسية لمنع استخدامه بشكل فوري في أي هجوم واسع النطاق.

إلى خادم الويب ، يبدو الملف تمامًا مثل ملف.gif ، إلا أن جهاز Java الظاهري للمتصفح سيفتحه كملف أرشيف Java ثم يقوم بتشغيله كبرنامج صغير. يعطي ذلك للمهاجم فرصة لتشغيل شفرة Java في متصفح الضحية. من جانبه ، يتعامل المستعرض مع هذا البرنامج الضار كما لو كان مكتوبًا بواسطة مطوري موقع الويب.

إليك كيف يمكن أن يعمل الهجوم: سيخلق الأشخاص السيئون ملفًا شخصيًا على أحد مواقع الويب الشائعة هذه - على سبيل المثال Facebook - وتحميل GIFAR كصورة على الموقع. ثم خدعوا الضحية لزيارة موقع ويب ضار ، مما سيخبر متصفح الضحية بفتح GIFAR. عند هذه النقطة ، سيتم تشغيل التطبيق الصغير في المستعرض ، مما يتيح للأشرار الوصول إلى حساب Facebook الخاص بالضحية.

قد يعمل الهجوم على أي موقع يسمح للمستخدمين بتحميل الملفات ، وربما حتى على مواقع الويب التي يتم استخدامها للتحميل ويقولون إن بطاقات GIFAR يتم فتحها بواسطة Java ، فيمكن فتحها في العديد من أنواع المتصفحات.

ولكن هناك نقطة واحدة للقبض. يجب تسجيل الضحية في موقع الويب الذي يستضيف الصورة حتى يعمل الهجوم. وقال هيمان "إن الهجوم سيعمل بشكل أفضل أينما تركت نفسك مسجلاً لفترات طويلة من الزمن." وهناك طريقة أخرى يمكن بها إحباط هجوم GIFAR. يمكن لمواقع ويب تعزيز أدوات التصفية الخاصة بهم بحيث يمكنهم اكتشاف الملفات المختلطة. بدلاً من ذلك ، يمكن لـ Sun تشديد بيئة تشغيل Java لمنع حدوث ذلك. ويتوقع الباحثون أن يصل صن إلى حل بعد فترة ليست طويلة من حديث بلاك هات.

لكن الباحثين يقولون إنه في حين أن إصلاح جافا قد يعطل هذا الموجة الهجومية ، فإن مشكلة المحتوى الضار الذي يتم وضعه على تطبيقات الويب الشرعية قضية أكبر وأسوأ. وقال ناثان مكفيرتس ، وهو مطور بمركز إيرنست أند يونج للأمن المتطور: "ستكون هناك طرق أخرى للقيام بذلك ، مع تقنيات أخرى". على المدى الطويل ، سيتعين على تطبيقات الويب التحكم في المحتوى "، وقال ماكفيرتس. "إنها مشكلة في تطبيق الويب. هجوم جافا الذي نستخدمه حاليًا هو مجرد متجه واحد."

لقد استفاد هو وزملاؤه من أصحاب القبعات السوداء من حديثهم الإنترنت محطمة.

في نهاية المطاف ، سيكون لدى صانعي المتصفح وقال جيريما جروسمان ، رئيس قسم التكنولوجيا في وايت هات سيكيورتيز: لإجراء بعض التغييرات الأساسية على برمجياتهم أيضًا. وقال: "ليس الأمر أن الإنترنت مكسور". "هذا هو أمان المستعرض مكسور. أمان المستعرض هو بالفعل تناقض لغوي."