Dziurawe przeglądarki i zdradziecki pop-up

Firma Secunia, znana z wykrywania 'dziur' w oprogramowaniu, informuje o nowym błędzie, występującym w zabezpieczeniach wszystkich popularnych przeglądarek internetowych - m.in. Internet Explorerze, Mozilli, Firefoksie, Operze, Safari oraz Konquerorze. Umożliwia on dowolnej stronie WWW na zmodyfikowanie zawartości okienka pop-up, otwieranego na innej stronie. Zdaniem przedstawicieli Secunia, mechanizm ten może posłużyć np. do okradania klientów e-banków. Microsoft tłumaczy, ze nie można tu mówić o błędzie, lecz o standardowej funkcji przeglądarki. "Nie widzę sensownego powodu, dla którego strona ma możliwość zmiany zawartości okna, którego sama nie otworzyła" - oponuje Przemysław Jaroszewski z CERT Polska.

Problem polega na tym, że żadna z wymienionych wyżej przeglądarek standardowo nie sprawdza, czy jakaś strona WWW może modyfikować zawartość okienka pop-up, otwartego z innej strony. Oznacza to, że jeśli użytkownik ma otwartą jednocześnie np. stronę e-banku oraz stronę stworzoną w celu wykorzystania opisywanego błędu, to ta druga strona może wymusić zmianę treści okna pop-up, otwartego np. poprzez kliknięcie łącza na stronie e-banku.

Secunia przygotowała nawet specjalną stronę WWW, ilustrującą działanie błędu - można ją znaleźć tutaj. By sprawdzić, jak działa błąd, należy otworzyć powyższą stronę w jednej ze wspomnianych przeglądarek, zaś później postępować zgodnie z instrukcją - tzn. kliknąć na łącze do strony Citibank (dostępne są dwa odnośniki - dla użytkowników korzystających z oprogramowania do blokowania okienek pop-up oraz pozostałych), a następnie - nie zamykając strony Secunia, kliknąć na otwierające okienko pop-up łącze na stronie banku (łączem jest widoczna obok grafika). Łącze na stronie CitibankŁącze na stronie CitibankJeśli przeglądarka będzie podatna na wykorzystanie błędu, to otwarty ze strony Citibanku pop-up zawierał będzie ostrzeżenie przygotowane przez Secunia.

Zdaniem przedstawicieli Secunia, błąd może zostać wykorzystany np. do okradania klientów e-banków, którzy mogą dzięki niemu zostać przekierowani na stronę podszywającą się pod serwis bankowy - "Użytkownik raczej nie będzie kwestionował poleceń zawartych w pop-upie wyświetlonym przez znaną mu stronę" - tłumaczą przedstawiciele firmy.

Microsoft wydał już oświadczenie w tej sprawie, z którego wynika, że opisywany powyżej problem to nie błąd, lecz zwykła funkcja przeglądarki - umożliwia ona stronie WWW wykorzystanie do wyświetlenia własnych treści okna pop-up otwartego przez inna przeglądarkę. Secunia zwraca jednak uwagę na fakt, iż nawet jeśli jest to standardowa funkcja programu, to może stwarzać istotne zagrożenie dla użytkownika.

Komentuje Przemysław Jaroszewski z CERT Polska:
Podchodząc do sprawy zdroworozsądkowo, nie widzę sensownego powodu, dla którego strona ma możliwość zmiany zawartości okna, którego sama nie otworzyła. Dlatego skłaniam się ku uznaniu tego za błąd, a nie za pożądaną funkcję przeglądarki. Wykorzystanie tego błędu, np. do phishingu nie wymaga wiele dodatkowego zachodu od atakującego, a pozwala na znacznie lepsze zamaskowanie oszustwa. Jedynym pewnym zabezpieczeniem jest stosowanie ograniczonego zaufania do treści, które otrzymujemy drogą elektroniczną i weryfikowanie ich bardziej godnymi zaufania sposobami (np. dzwoniąc pod znany nam numer banku). W tym przypadku należy także wystrzegać się odwiedzania nieznanych stron WWW podczas korzystania z serwisów, w których posługujemy się danymi, które chcielibyśmy chronić.


Poniżej prezentujemy przygotowaną przez Secunia infografikę, przedstawiającą potencjalny mechanizm wykorzystania błędu do oszukania użytkownika:

Infografika, ilustrująca mechanizm działania błęduInfografika, ilustrująca mechanizm działania błędu

Więcej informacji:

http://www.secunia.com

Aktualizacja: 10 grudnia 2004 08:33
O opinię na temat błędu w zabezpieczeniach popularnych przeglądarek poprosiliśmy również Adama Kwaśniewskiego, dyrektora handlowego firmy AdNet:

Czy doniesienia o takim błędzie mogą przyczynić się do wzrostu popularności oprogramowania blokującego okienka pop-up?

Każda akcja wywołuje reakcję... Jeśli 'pop-up killery' będą promowane jako jedna z metod obrony przed phisingiem - niewątpliwie będzie pewna ilość osób, która z nich skorzysta z tego powodu. Ale bedzię to zapewne tylko jedna z kilku (wcale nie najważniejsza) przyczyna instalowania sobie tego typu aplikacji.

Jaki odsetek reklam wyświetlanych na polskich stronach stanowią właśnie okienka pop-up?

Odsetek pop-upow szacowałbym na około 6%. Należy do tego doliczyć inne formy reklamowe typu pop - pop-under (osobne okno pod aktywnym oknem przeglądarki) oraz tzw. interstitiale - pełnoekranowe komunikaty, otwierane jako osobne okno. Razem te formy mają ok. 20% udziału w ogóle form reklamowych w polskim Internecie. Natomiast warto podkreślić, ze te formy nie znikną wraz ze wzrostem popularności 'pop-up killerów' - zmieni się tylko sposób ich wywoływania (np. emisja na warstwie).
Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.