Sa Kahilingan ng Adobe, ang 'Hacker Nix' clickjacking 'Talk

Pagkatapos na tanungin sila ng Adobe Systems na huminto tungkol sa kanilang mga natuklasan, dalawang mga tagapangasiwa ng seguridad ang nakuha ng isang teknikal na pag-uusap kung saan ipapakita nila kung paano nila mapupunan ang kontrol ng isang browser ng biktima gamit ang isang online na atake na tinatawag na 'clickjacking. '

Robert Hansen at Jeremiah Grossman ay nakatakdang maghatid ng kanilang pahayag sa susunod na linggo sa kumperensya ng OWASP (Open Web Application Security) sa New York. Ngunit ang patunay ng code ng konsepto na kanilang binuo upang maipakita kung paano nagtrabaho ang pag-click sa pag-click sa pag-atake sa isang bug sa isa sa mga produkto ng Adobe. Pagkatapos ng isang linggo ng mga talakayan sa Adobe, nagpasya ang mga mananaliksik noong nakaraang Biyernes upang hilahin ang usapan.

Kahit na naniniwala ang Hansen at Grossman na ang clickjacking flaw sa huli ay namamalagi sa paraan na ang mga browser ng Internet ay idinisenyong, kumbinsido sila ng Adobe na humawak sa kanilang diskusyon hanggang sa makalabas sila ng patch.

Sa isang clickjacking na atake, sinasalakay ng pag-atake ang biktima sa pag-click sa malisyosong mga link sa Web nang hindi napagtatanto ito. Ang ganitong uri ng pag-atake ay kilala sa loob ng maraming taon, ngunit hindi itinuturing na partikular na mapanganib. Ang mga eksperto sa seguridad ay naisip na maaaring magamit upang gumawa ng pag-click sa pandaraya sa pag-click o upang mapalawak ang mga rating ng Digg para sa isang Web page. Halimbawa, sa pagsulat ng kanilang code ng patunay-ng-konsepto, natanto ng Hansen at Grossman na ang clickjacking ay talagang higit pa seryoso kaysa sa unang pag-iisip nila.

"Nang tuluyan na kami ay nagtayo at nakuha ang patunay ng konsepto na ito ay medyo masama," sabi ni Grossman. "Kung kontrolin ko kung ano ang iyong na-click, gaano karaming masama ang maaari kong gawin? Ito ay lumiliko maaari mong gawin ang isang bilang ng mga tunay, talagang masamang bagay."

Ni Grossman o Hansen, CEO ng consultancy na SecTheory, nais na makakuha ng sa mga detalye ng kanilang pag-atake. Gayunpaman, sinabi ni Tom Brennan, ang tagapag-ayos ng OWASP conference na nakita niya ang code ng pag-atake na nagpakita at pinahihintulutan ng attacker na kontrolin ang desktop ng biktima.

Sinasabi ng mga mananaliksik na hindi sila pinigilan ng Adobe na i-drop ang kanilang talk. "Hindi ito isang masamang" sinisikap ng tao na panatilihing pababa sa amin ang mga sitwasyon, "isinulat ni Hansen sa kanyang blog.

Late Lunes, nag-post si Adobe ng tala, pinasasalamatan ang mga mananaliksik para sa pagpapanatiling pribado at nagpapahiwatig na ang Ang kumpanya ay nagtatrabaho sa patching ang problema.

Kahit na ang pagbubunyag ng bug ay maaaring makatulong sa mga attackers, sinabi ni Orenas ng Brennan na ang mga mananaliksik ay dapat pa rin magpatuloy at magbigay ng kanilang pahayag upang bigyan ang mga propesyonal sa IT ng pagkakataong maunawaan ang tunay na katangian ng banta. "May isang zero-araw na problema sa mga browser na nakakaapekto sa milyun-milyong tao ngayon," sabi niya. "Kapag tinatalakay ito ng isang tao, inilalagay nito ang lahat sa parehong patlang ng paglalaro."

Sinabi ni Hansen at Grossman na umaasa rin ang Microsoft na mag-patch ng isang kaugnay na bug sa Internet Explorer, at marami pang ibang mga browser ang apektado din ng problema sa pag-click. "Naniniwala kami na mas marami o mas kaunti ang isang problema sa seguridad ng browser," sabi ni Grossman.