Офлайновые приложения упрощают кражу данных

19.02.2009

Вернуться к списку новостей На проходящей в Вашингтоне конференции Black Hat специалист по кибербезопасности Майкл Саттон рассказал об опасностях, которые могут угрожать пользователям в связи с развитием офлайновых веб-сервисов.

Офлайновые веб-сервисы постепенно набирают популярность. В качестве примера можно привести почтовую службу Gmail, веб-интерфейс которой с недавнего времени способен практически полностью функционировать при отсутствии соединения с Интернетом. Это не единственный сервис Google, обладающий таким полезным свойством и использующий для этого приложение Gears.

На практике такой функционал достигается за счёт формирования локальной копии части базы данных сервера на клиентском компьютере. И именно здесь кроется опасность, отмечает Саттон. Если веб-сайт является уязвимым к хакерским атакам (Саттон упоминает SQL-инъекции и межсайтовый скриптинг), то компьютер пользователя в таком случае также становится уязвимым: информация из его локальной базы данных может попасть в руки злоумышленников. И это вовсе не умозрительная угроза: эксперт проверил свои догадки на практике, воспользовавшись уязвимостью некоего ресурса Plymo (эта уязвимость уже устранена по его наводке).

Наиболее вероятный сценарий, которым будут пользоваться киберпреступники, по мнению Саттона, заключается в рассылке своеобразных фишинговых писем, которые будут завлекать пользователей не на фальшивые сайты, а на вполне легитимные, но уязвимые веб-ресурсы. После этого с помощью браузера пользователя злоумышленники смогут добраться до данных из офлайновой базы. При этом совершенно неважно, насколько хорошо защищён компьютер пользователя: никакой антивирус здесь не поможет. Также неважно, насколько хорошо продумана защита инструмента, который позволяет организовать работу в офлайне. Важно то, насколько ответственно к вопросам безопасности относятся администраторы ресурсов, предоставляющих офлайн-сервисы.

"Gears — потрясающий инструмент, и Google провёл отличную работу по обеспечению безопасности этой технологии, — говорит Саттон. — Но если вы внедрите её в уязвимый сайт, вы подставите своих клиентов".

Помимо приложения Gears, способного работать в ОС Windows, Mac OS X и Linux — то есть едва ли не на всех компьютерах, Саттон также упоминает находящуюся в стадии разработки спецификацию HTML 5. Здесь также предусматривается взаимодействие браузера с сайтами при помощи локальных БД, и эта возможность уже частично реализована в Apple Safari. Очевидно, что количество офлайновых веб-сервисов будет расти, причём очень быстрыми темпами.