Фотография может украсть ваши данные на Facebook

11.08.2008

Вернуться к списку новостей На открывающейся конференции по компьютерной безопасности Black Hat в Лас-Вегасе будет показана программа, способная похитить авторизационные данные пользователей таких популярных Web-сайтов, как Facebook, eBay и Google. 

Метод основан на использовании комбинированного файла, выглядящего с точки зрения различных программ файлами разных типов. Если поместить такой файл на сайте, разрешающем размещение пользователями фотографий, а затем попытаться просмотреть в браузере, то браузер посчитает его не фотографией, а Java-апплетом и запустит его в своей виртуальной машине. При этом, с точки зрения браузера, авторами апплета будут являться владельцы сайта, а не злоумышленник. Таким образом, апплет будет иметь такой же доступ к данным пользователя, как и владельцы сайта, где пользователь завел учетную запись — например, Facebook. Разумеется, для кражи данных необходимо, чтобы пользователь во время просмотра был зарегистрирован на сайте.

Исследователи назвали такой тип файла GIFAR, поскольку он объединяет графический формат GIF и Java-архив JAR. Методы защиты от атаки существуют и, вероятно, будут вскоре реализованы поставщиками виртуальных машин Java. Однако разработчикам браузеров в конечном итоге следует ввести в программы фундаментальные изменения, считают эксперты.