Το HTML5 δημιουργεί νέα προβλήματα ασφάλειας

, η ομάδα ασφαλείας για το πρόγραμμα περιήγησης Firefox έχει τη νέα έκδοση της γλώσσας Web HyperText Markup Language (HTML), HTML5, κυρίως στο μυαλό.

Οι εφαρμογές Web γίνονται απίστευτα πλούσιες με το HTML 5. Το πρόγραμμα περιήγησης αρχίζει να διαχειρίζεται πλήρεις εφαρμογές και όχι μόνο ιστοσελίδες ", δήλωσε ο Sid Stamm, ο οποίος εργάζεται σε θέματα ασφάλειας του Firefox για το Mozilla Foundation. Ο Stamm μιλούσε στο Symposium Security Usenix, που πραγματοποιήθηκε την περασμένη εβδομάδα στην Ουάσιγκτον DC

«Υπάρχει μεγάλη επιφάνεια επίθεσης που πρέπει να σκεφτούμε», ανέφερε.

Την ίδια εβδομάδα, ο Stamm εξέφρασε ανησυχία για το HTML5, του προγράμματος περιήγησης Opera ήταν απασχολημένοι με τον καθορισμό μιας ευπάθειας υπερχείλισης buffer που θα μπορούσε να αξιοποιηθεί με τη χρήση της δυνατότητας απεικόνισης καμβά HTML5.

Είναι αναπόφευκτο ότι το νέο σύνολο προτύπων για την απόδοση ιστοσελίδων του World Wide Web Consortium (W3C) ως HTML5, έρχονται με μια εντελώς νέα δέσμη ευπαθειών; Ορισμένοι ερευνητές της ασφάλειας πιστεύουν ότι αυτό συμβαίνει.

"Το HTML5 φέρνει πολλά χαρακτηριστικά και δύναμη στον Ιστό. Μπορείτε να κάνετε πολύ περισσότερα [κακόβουλη εργασία] με απλή HTML5 και JavaScript τώρα από ό, τι ήταν ποτέ δυνατό πριν, δήλωσε ο ερευνητής ασφάλειας Lavakumar Kuppan.

Το W3C "επιδιώκει να αναδιαμορφώσει ολόκληρο τον επανασχεδιασμό πάνω στην ιδέα ότι θα αρχίσουμε να εκτελούμε εφαρμογές μέσα στο πρόγραμμα περιήγησης και έχουμε αποδείξει με την πάροδο των ετών πόσο ασφαλή είναι τα προγράμματα περιήγησης", δήλωσε ο Kevin Johnson, ένα δοκιμαστή διείσδυσης με την εταιρεία συμβούλων ασφαλείας Secure Ideas. "Πρέπει να επιστρέψουμε στην κατανόηση του ότι το πρόγραμμα περιήγησης είναι ένα κακόβουλο περιβάλλον. Έχουμε χάσει τον ιστότοπό του."

Αν και είναι το όνομα μιας προδιαγραφής από μόνο του, το HTML5 χρησιμοποιείται επίσης συχνά για να περιγράψει μια συλλογή χαλαρά αλληλένδετων συνόλων προτύπων τα οποία, από κοινού, μπορούν να χρησιμοποιηθούν για την κατασκευή ολοκληρωμένων εφαρμογών ιστού. Προσφέρουν δυνατότητες όπως μορφοποίηση σελίδων, αποθήκευση δεδομένων εκτός σύνδεσης, απόδοση εικόνων και άλλες πτυχές. (Παρόλο που δεν είναι W3C spec, το JavaScript είναι επίσης συχνά συγκεντρωμένο σε αυτά τα πρότυπα, τόσο ευρέως χρησιμοποιείται στην κατασκευή εφαρμογών Web).

Όλες αυτές οι νέες προτεινόμενες λειτουργίες αρχίζουν να διερευνώνται από ερευνητές ασφαλείας

νωρίτερα αυτό το καλοκαίρι, Ο Kuppan και άλλος ερευνητής δημοσίευσαν έναν τρόπο κατάχρησης της προσωρινής μνήμης εφαρμογών HTML5 Offline. Το Google Chrome, το Safari, το Firefox και το beta του προγράμματος περιήγησης Opera έχουν ήδη εφαρμόσει αυτό το χαρακτηριστικό και θα ήταν ευάλωτα σε επιθέσεις που χρησιμοποίησαν αυτήν την προσέγγιση, σημείωσαν.

Οι ερευνητές υποστηρίζουν ότι επειδή οποιαδήποτε τοποθεσία Web μπορεί να δημιουργήσει μια προσωρινή μνήμη ο υπολογιστής του χρήστη και, σε ορισμένα προγράμματα περιήγησης, το κάνουν χωρίς τη ρητή άδεια του χρήστη, ένας εισβολέας μπορεί να δημιουργήσει μια πλαστή σελίδα σύνδεσης σε έναν ιστότοπο όπως έναν ιστότοπο κοινωνικής δικτύωσης ή ηλεκτρονικού εμπορίου. Μια τέτοια ψεύτικη σελίδα θα μπορούσε στη συνέχεια να χρησιμοποιηθεί για να κλέψει τα διαπιστευτήρια του χρήστη

Άλλοι ερευνητές χωρίστηκαν για την αξία αυτού του ευρήματος

"Είναι μια ενδιαφέρουσα συστροφή, αλλά δεν φαίνεται να προσφέρει στους επιτιθέμενους δικτύου πρόσθετα πλεονεκτήματα πέρα ​​από το τι μπορούν ήδη να επιτύχουν ", έγραψε ο Chris Evans στη λίστα αλληλογραφίας Full Disclosure. Ο Evans είναι ο δημιουργός του λογισμικού Very Secure File Transfer Protocol (vsftp).

Ο Dan Kaminsky, επικεφαλής επιστημόνων της εταιρίας Recursion Ventures, συμφώνησε ότι αυτή η εργασία αποτελεί συνέχεια των επιθέσεων που αναπτύχθηκαν πριν από την HTML5. "Οι φυλλομετρητές δεν ζητούν απλώς περιεχόμενο, κάνουν κάτι τέτοιο και το ρίχνουν μακριά, αλλά το αποθηκεύουν και για μελλοντική χρήση … Η Lavakumar παρατηρεί ότι οι τεχνολογίες προσωρινής αποθήκευσης της επόμενης γενιάς υποφέρουν από το ίδιο χαρακτηριστικό", ανέφερε σε μια συνέντευξη μέσω ηλεκτρονικού ταχυδρομείου

Οι κριτικοί συμφώνησαν ότι αυτή η επίθεση θα βασίζεται σε έναν ιστότοπο που δεν χρησιμοποιεί το Secure Sockets Layer (SSL) για την κρυπτογράφηση δεδομένων μεταξύ του προγράμματος περιήγησης και του εξυπηρετητή ιστοσελίδας, κάτι που συνήθως εφαρμόζεται. Αλλά ακόμα κι αν αυτή η εργασία δεν ξεθάψει έναν νέο τύπο ευπάθειας, δείχνει ότι μια παλιά ευπάθεια μπορεί να επαναχρησιμοποιηθεί σε αυτό το νέο περιβάλλον

Ο Johnson λέει ότι, με το HTML5, πολλά από τα νέα χαρακτηριστικά συνιστούν απειλές από μόνος του, εξαιτίας του τρόπου με τον οποίο αυξάνουν τον αριθμό των τρόπων με τους οποίους ο επιτιθέμενος θα μπορούσε να αξιοποιήσει τον browser του χρήστη για να κάνει κάποια βλάβη.

για τρωτά σημεία - υπερχείλισης buffer, επιθέσεις SQL injection, patch τους, τους διορθώνουμε, τις παρακολουθούμε », είπε ο Johnson. Όμως, στην περίπτωση του HTML5, είναι συχνά τα ίδια τα χαρακτηριστικά "που μπορούν να χρησιμοποιηθούν για να μας επιτεθούν", ανέφερε.

Για παράδειγμα, ο Johnson επισημαίνει το Gmail της Google, που είναι πρώιμος χρήστης των τοπικών δυνατοτήτων αποθήκευσης του HTML5. Πριν από την HTML5, ένας εισβολέας ίσως χρειαζόταν να κλέψει τα cookies από ένα μηχάνημα και να τα αποκωδικοποιήσει για να πάρει τον κωδικό πρόσβασης για μια ηλεκτρονική υπηρεσία ηλεκτρονικού ταχυδρομείου. Τώρα, ο επιτιθέμενος χρειάζεται μόνο να εισέλθει στο πρόγραμμα περιήγησης του χρήστη, όπου το Gmail γράφει ένα αντίγραφο των εισερχομένων.

"Αυτά τα σύνολα χαρακτηριστικών είναι τρομακτικά", δήλωσε. "Εάν μπορώ να εντοπίσω ένα ελάττωμα στην εφαρμογή σας Web και να εισάγω κώδικα HTML5, μπορώ να τροποποιήσω τον ιστότοπό σας και να κρύψω πράγματα που δεν θέλω να δείτε."

Με την τοπική αποθήκευση, ένας εισβολέας μπορεί να διαβάσει δεδομένα από το πρόγραμμα περιήγησης, ή να εισαγάγετε άλλα δεδομένα εκεί χωρίς να το γνωρίζετε. Με τη γεωγραφική τοποθέτηση, ο εισβολέας μπορεί να καθορίσει την τοποθεσία σας χωρίς να το γνωρίζετε. Με τη νέα έκδοση του Cascading Style Sheets (CSS), ένας εισβολέας μπορεί να ελέγξει ποια στοιχεία μιας σελίδας με βελτιωμένη CSS μπορείτε να δείτε. Το WebSocket HTML5 παρέχει μια στοίβα επικοινωνίας δικτύου στο πρόγραμμα περιήγησης, η οποία θα μπορούσε να χρησιμοποιηθεί λανθασμένα για συγκαλυμμένες επικοινωνίες backdoor.

Αυτό δεν σημαίνει ότι οι κατασκευαστές προγραμμάτων περιήγησης αγνοούν αυτό το ζήτημα. Ακόμα κι όταν εργάζονται για να προσθέσουν την υποστήριξη για τα νέα πρότυπα, εξετάζουν τρόπους για να αποτρέψουν την κακή χρήση τους. Στο συμπόσιο του Usenix, ο Stamm επεσήμανε μερικές από τις τεχνικές που εξετάζει η ομάδα του Firefox για να μετριάσουν τις ζημιές που θα μπορούσαν να γίνουν με αυτές τις νέες τεχνολογίες.

Για παράδειγμα, εργάζονται σε μια εναλλακτική πλατφόρμα plug-in, που ονομάζεται JetPack, θα διατηρούσε αυστηρότερο έλεγχο των ενεργειών που θα μπορούσε να εκτελέσει μια προσθήκη. "Εάν έχουμε πλήρη έλεγχο της διεπαφής προγραμματισμού εφαρμογών, είμαστε σε θέση να πούμε ότι" Αυτό το πρόσθετο ζητά πρόσβαση στο Paypal.com, θα το επιτρέπετε; "δήλωσε ο Stamm.

Το JetPack μπορεί επίσης να χρησιμοποιήσει ένα δηλωτικό μοντέλο ασφαλείας, στο οποίο το plug-in πρέπει να δηλώνει στο πρόγραμμα περιήγησης κάθε ενέργεια που προτίθεται να αναλάβει. Το πρόγραμμα περιήγησης θα παρακολουθεί την προσθήκη για να διασφαλίσει ότι θα παραμείνει μέσα σε αυτές τις παραμέτρους.

Ωστόσο, αν οι παραγωγοί περιηγητών μπορούν να κάνουν αρκετά για να εξασφαλίσουν την HTML5 παραμένει εμφανής, οι επικριτές υποστηρίζουν

"Η επιχείρηση πρέπει να αρχίσει να αξιολογεί εάν αξίζει αυτά τα χαρακτηριστικά να αναπτύξουν τα νέα προγράμματα περιήγησης ", ανέφερε ο Johnson. "Ο Joab Jackson καλύπτει το επιχειρηματικό λογισμικό και τη γενική τεχνολογία που σπρώχνει νέα για την

Η υπηρεσία ειδήσεων IDG. Ακολουθήστε τον Joab στο Twitter στο @Joab_Jackson. Η διεύθυνση ηλεκτρονικού ταχυδρομείου του Joab είναι [email protected]