24 órán belül már a második támadás a Facebook-felhasználók ellen

Ha nem megy másképp, kérd meg a felhasználót!

forrás Prim Online, 2010. május 6. 17:17

Szakmai körökben ismert tény, hogy a titkosításokat legtöbbször nem feltörik, hanem megkerülik. Ugyanez általánosítva is igaz szinte az összes informatikai biztonsági technikai védelemre: sokszor egyszerűbb megkerülni, mint feltörni. Főleg akkor, ha mi felhasználók magunk is aktívan és készséggel közreműködünk ebben.

A Facebookon egyre gyakrabban bukkannak fel ugyanazt a trükköt használó alkalmazások, amelyek a böngészők same origin policy-jébe (SOP), és a Facebook fejlesztői interfészébe épített védelmeket nem feltörik, hanem egyszerűen megkerülik a felhasználó segítségével. Az SOP azt biztosítja, hogy egymás mellett futó, de különböző helyről származó (értsd: betöltött) alkalmazások (web oldalak) nem látják egymás bizalmas adatait (Cookie-k, változók), míg a Facebook api-ja (programozói felület) a Facebookon tárolt adatokhoz és szolgáltatásokhoz csak ellenőrzött és feljogosított kéréseket engedélyeznek.

A támadó alkalmazás a Facebookon különböző változatokban terjed: két kép között a különbségeket vagy egy nehéznek tűnő kérdésre a választ kell megtalálni, vagy mint a legutóbbi esetben, egy pluszszolgáltatás ígéretével (láthatod, ki nézte meg a profilodat) csapja be a felhasználót. Ami ezekben az alkalmazásokban közös, hogy a helyes válasz megjelenítéséhez vagy a kért funkció eléréséhez a felhasználó segítségét kéri: először a Ctrl-C-t kell leütni, majd az Alt-D, végül a Ctrl-V-t és ENTER-t kell leütni és kész.

Az ártatlan segítségnyújtással viszont éppen a beépített védelmeket kerüljük meg, amin a program magától nem tudna átjutni. Ugyanis a Ctrl-C leütésével egy előre kijelölt és kódolt javascript programot helyezünk a vágólapra, az Alt-D leütésével kiválasztjuk a navigációs sort, majd a Ctrl-V és ENTER párossal beillesztjük és lefuttatjuk a javascript programot.

Ami számunkra csak pár kattintásra és billentyűleütés távolságra van, az a böngészők fenti biztonsági védelmei miatt áthatolhatatlan messzeségben vannak, ugyanis a Facebookon az alkalmazás egy beágyazott korlátozott futtatókörnyezetben működik, ahonnan a Facebookot csak ellenőrzött és korlátozott programhívásokon keresztül tudja elérni. A javascript program böngészősorba való másolásával ezeket a védelmeket kerüli ki a felhasználó.

A javascript kód visszafejtésével kiderült működési mechanizmusa is: a bejelentkezett Facebookos felhasználó NEVÉBEN annak kattintásait programból emulálva úgy tesz, mintha a felhasználó használná a Facebook felületét. A vizsgált program ebben az esetben ártalmatlan dologra veszi rá a felhasználót: egy adott oldalt megjelölt kedvencünkként és ismerőseinknek is ajánlja azt. Ugyanakkor fontos megjegyezni, hogy ugyanezzel a technikával egyéb kártékony feladatot is el lehet végeztetni a felhasználó nevében és ezek az alkalmazások már valahol készülnek... Tekintsük úgy az elmúlt napok eseményeit, mint egy nagyobb terv tesztelését..

„Ennek a végül is ártalmatlan történetnek is van néhány fontos tanulsága” – vonta le a következtetést Bártfai Attila a kancellar.hu üzletfejlesztési igazgatója. Először is, aki még nem tudná, a böngésző címsorában is lehet programot futtatni, ami az adott oldalon elérhető minden védett tartalmat elér, ezért onnan javascriptet futtatni csak akkor szabad, ha tudjuk mit csinálunk. Minden olyan szöveget óvatosan kezeljünk, ami „javascript:” karakter sorozattal kezdődik. Ökölszabályként inkább ne is írjunk be ilyen kezdetű szövegeket a címsorba.

Másodszor, ismét egy jó példát látunk arra, hogy miért fontos a tervezés során már a biztonsági szempontokat figyelni. A címsorban való programfuttatás egy nem kellően végiggondolt ötlet, aminek meglétét nem támasztja alá valós forgatókönyv.

Néhány böngészőt megvizsgálva sajnos nincs nyoma annak, hogy a javascriptet szelektíven a címsorban lehetne tiltani. Azaz vagy letiltjuk teljesen és akkor újra a web hőskorában találjuk magunkat, gyakorlatilag használhatatlan webbel, vagy engedjük teljesen és figyelünk arra, amit csinálunk. Mi ez utóbbit javasoljuk most és úgy általában is.

Kulcsszavak: Facebook security

IT ROVAT TOVÁBBI HÍREI

Öt dolog, amire szoftver-beszerzéskor érdemes figyelni

A vállalati szoftverekkel kapcsolatban számos olyan szellemi tulajdonjogi, adatvédelmi jogi és titokvédelmi kérdés felmerülhet, amelyre a cégek sajnos nem mindig gondolnak a beszerzés során. Az üzletmenet szempontjából kritikus szoftverek esetében az említett kérdésekből eredő problémák akár jelentősen is befolyásolhatják a cég mindennapos működését, és az adatvédelmi és titokvédelmi kötelezettségek megsértése nemcsak jogi következményekkel járhat, de a cég iránti bizalmat is megingathatja – hívja fel a figyelmet a Baker McKenzie nemzetközi ügyvédi iroda.

2025. február 14. 16:08

A Zyxel Networks bővíti az iparágvezető WiFi 7 portfólióját

A Zyxel Networks, a vezető biztonságos, AI-alapú felhőhálózati megoldások szállítója, négy új WiFi 7 hozzáférési pontot (AP) mutatott be, amelyek tovább bővítik az iparág legkiterjedtebb termékpalettáját, és új lehetőségeket kínálnak a különböző méretű vállalatok számára a vezeték nélküli kapcsolódás testreszabására.

2025. február 11. 20:02

Egyszerű beállításokkal a gyermekek digitális biztonságáért

Az online platformok legfontosabb szülői felügyeleti beállításain vezeti végig a gondviselőket a Nemzeti Média- és Hírközlési Hatóság (NMHH) új videósorozata. A biztonságos internet napjára készült kisfilmek a tudatos internethasználat alapjaira is felhívják a figyelmet, hangsúlyozva, hogy a technikai védelem mellett a legnagyobb biztonságot a szülők és gyermekeik közötti nyílt, őszinte párbeszéd és az odafigyelés jelenti.

2025. február 10. 16:45

Hogyan vált a mesterséges intelligencia és egy magyar bankszámla egy csalás főszereplőjévé?

A mesterséges intelligencia (MI) fejlődése új lehetőségeket teremtett a bűnözők számára, akik egyre kifinomultabb módszerekkel hajtanak végre banki csalásokat. Az MI-alapú hangutánzó és deepfake technológiák segítségével a csalók képesek megtévesztő módon utánozni mások hangját és megjelenését, így könnyebben férnek hozzá pénzügyi információkhoz és számlákhoz. 

2025. február 9. 18:59

AI Tour Budapest: így alakítja át az üzletet a mesterséges intelligencia

A Microsoft ingyenesen elérhetővé tette a Copilot Chat-et, hogy ezzel is hozzájáruljon a mesterséges intelligenciára épülő megoldások elterjedéséhez. Azok az üzletemberek és informatikai szakértők, akik február 5-én részt vettek a Microsoft AI Tour budapesti eseményén, első kézből tájékozódhattak róla, hogyan formálja át az AI a munkahelyeket, a mindennapokat és a kiberbiztonság területét. Mint elhangzott, Magyarország ez utóbbi tekintetben kimondottan veszélyeztettnek minősül, mivel nálunk a kibertámadások okozta kárérték kétszer olyan ütemben növekszik, mint a világátlag.

2025. február 7. 17:37

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Az ESET nyerte az AV-Comparatives 2024-es Év Terméke díját

2025. február 13. 10:03

Tudatos és biztonságos online jelenlét a fiataloknak

2025. február 10. 14:59

Szoboszlai Dominik és a Liverpool: Hogyan követhetjük nyomon a mérkőzéseiket?

2025. február 7. 15:20

IAB Hungary kihirdette az Év videós hirdetése 2024 versenyének győzteseit

2025. február 7. 09:54