Dziurawe przeglądarki i zdradziecki pop-up
- Daniel Cieślak,
- 09.12.2004, godz. 09:29
Firma Secunia, znana z wykrywania 'dziur' w oprogramowaniu, informuje o nowym błędzie, występującym w zabezpieczeniach wszystkich popularnych przeglądarek internetowych - m.in. Internet Explorerze, Mozilli, Firefoksie, Operze, Safari oraz Konquerorze. Umożliwia on dowolnej stronie WWW na zmodyfikowanie zawartości okienka pop-up, otwieranego na innej stronie. Zdaniem przedstawicieli Secunia, mechanizm ten może posłużyć np. do okradania klientów e-banków. Microsoft tłumaczy, ze nie można tu mówić o błędzie, lecz o standardowej funkcji przeglądarki. "Nie widzę sensownego powodu, dla którego strona ma możliwość zmiany zawartości okna, którego sama nie otworzyła" - oponuje Przemysław Jaroszewski z CERT Polska.
Secunia przygotowała nawet specjalną stronę WWW, ilustrującą działanie błędu - można ją znaleźć tutaj. By sprawdzić, jak działa błąd, należy otworzyć powyższą stronę w jednej ze wspomnianych przeglądarek, zaś później postępować zgodnie z instrukcją - tzn. kliknąć na łącze do strony Citibank (dostępne są dwa odnośniki - dla użytkowników korzystających z oprogramowania do blokowania okienek pop-up oraz pozostałych), a następnie - nie zamykając strony Secunia, kliknąć na otwierające okienko pop-up łącze na stronie banku (łączem jest widoczna obok grafika). Jeśli przeglądarka będzie podatna na wykorzystanie błędu, to otwarty ze strony Citibanku pop-up zawierał będzie ostrzeżenie przygotowane przez Secunia.
Zdaniem przedstawicieli Secunia, błąd może zostać wykorzystany np. do okradania klientów e-banków, którzy mogą dzięki niemu zostać przekierowani na stronę podszywającą się pod serwis bankowy - "Użytkownik raczej nie będzie kwestionował poleceń zawartych w pop-upie wyświetlonym przez znaną mu stronę" - tłumaczą przedstawiciele firmy.
Microsoft wydał już oświadczenie w tej sprawie, z którego wynika, że opisywany powyżej problem to nie błąd, lecz zwykła funkcja przeglądarki - umożliwia ona stronie WWW wykorzystanie do wyświetlenia własnych treści okna pop-up otwartego przez inna przeglądarkę. Secunia zwraca jednak uwagę na fakt, iż nawet jeśli jest to standardowa funkcja programu, to może stwarzać istotne zagrożenie dla użytkownika.
Podchodząc do sprawy zdroworozsądkowo, nie widzę sensownego powodu, dla którego strona ma możliwość zmiany zawartości okna, którego sama nie otworzyła. Dlatego skłaniam się ku uznaniu tego za błąd, a nie za pożądaną funkcję przeglądarki. Wykorzystanie tego błędu, np. do phishingu nie wymaga wiele dodatkowego zachodu od atakującego, a pozwala na znacznie lepsze zamaskowanie oszustwa. Jedynym pewnym zabezpieczeniem jest stosowanie ograniczonego zaufania do treści, które otrzymujemy drogą elektroniczną i weryfikowanie ich bardziej godnymi zaufania sposobami (np. dzwoniąc pod znany nam numer banku). W tym przypadku należy także wystrzegać się odwiedzania nieznanych stron WWW podczas korzystania z serwisów, w których posługujemy się danymi, które chcielibyśmy chronić.
Poniżej prezentujemy przygotowaną przez Secunia infografikę, przedstawiającą potencjalny mechanizm wykorzystania błędu do oszukania użytkownika:
Więcej informacji:
http://www.secunia.com
O opinię na temat błędu w zabezpieczeniach popularnych przeglądarek poprosiliśmy również Adama Kwaśniewskiego, dyrektora handlowego firmy AdNet:
Czy doniesienia o takim błędzie mogą przyczynić się do wzrostu popularności oprogramowania blokującego okienka pop-up?
Każda akcja wywołuje reakcję... Jeśli 'pop-up killery' będą promowane jako jedna z metod obrony przed phisingiem - niewątpliwie będzie pewna ilość osób, która z nich skorzysta z tego powodu. Ale bedzię to zapewne tylko jedna z kilku (wcale nie najważniejsza) przyczyna instalowania sobie tego typu aplikacji.
Jaki odsetek reklam wyświetlanych na polskich stronach stanowią właśnie okienka pop-up?
Odsetek pop-upow szacowałbym na około 6%. Należy do tego doliczyć inne formy reklamowe typu pop - pop-under (osobne okno pod aktywnym oknem przeglądarki) oraz tzw. interstitiale - pełnoekranowe komunikaty, otwierane jako osobne okno. Razem te formy mają ok. 20% udziału w ogóle form reklamowych w polskim Internecie. Natomiast warto podkreślić, ze te formy nie znikną wraz ze wzrostem popularności 'pop-up killerów' - zmieni się tylko sposób ich wywoływania (np. emisja na warstwie).