29 september 2008
Niet een virus, maar een serie browserlekken bedreigt bezoekers van internet. Bijna elke browser blijkt kwetsbaar voor hackers. Beveiligingslekken die in bijna alle browsers voorkomen, kunnen hackers de volledige controle geven over de hyperlinks waarop een internetter klikt. Daardoor kunnen internetgebruikers, zonder dat zij het weten, naar vervalste webpagina’s worden gebracht, waarschuwen online beveiligingsexperts. De onderzoekers die de serie gebreken ontdekten, geven voorlopig geen details, zodat softwaremakers de gelegenheid krijgen het lek te dichten. Onder meer de browsers Explorer, Firefox, Safari, Opera en Chrome zijn kwetsbaar voor het zogenoemde ‘clickjacking’ (linkkaping). De getroffen browsers worden door het overgrote merendeel van de internetters gebruikt. Een echte oplossing voor het probleem is nog niet gevonden. Jeremiah Grossman, een van de ontdekkers van het lek, zegt dat kwaadwilligen met clickjacking ernstige schade kunnen aanrichten. 'This issue has been long known. The Web security community knows about it', zegt Grossman. 'But it has been for the most part underestimated as far as its potential impact. The browser vendors know what the problem is. But they don't know how or if they're going to address it. It's not a simple patch. It's probably a re-architecting of the browser security model. It's not just an Adobe bug. It's something that affects everyone'. Na een demonstratie door Grossman en Robert Hansen, is daar verandering in gekomen en werken partijen als Microsoft, Mozilla en Apple aan een oplossing.
'We can do this with any button on any page anywhere', zegt Grossman, Chief Technology Officer van WhiteHat Security Inc.. Grossman en Hansen waren van plan een presentatie te verzorgen van hun bevindingen op de Open Web Application Security Project (OWASP) -conferentie in New York, maar hebben deze presentatie gecanceled nadat ze hun onderzoek hadden bekendgemaakt bij Adobe. Dit bedrijf werd zeer bezorgd over de gevolgen die deze aanval kon hebben op Adobe's klanten. Ten minste een product van de softwaremaker namelijk blijkt ook kwetsbaar voor het lek. Met behulp van clickjacking kunnen inlogcodes en wachtwoorden achterhaald worden, waarmee toegang verkregen kan worden tot bijvoorbeeld online bankrekeningen. Ook kan de bediening van webcams overgenomen worden en zouden hackers de mailboxen van gebruikers kunnen bekijken. Beveiligingsexpert Toralv Dirro van virusbestrijder McAfee spreekt van een omvangrijke bedreiging. Volgens Dirro bieden antivirusprogramma’s waarschijnlijk geen bescherming, omdat het niet om een virus gaat maar om een lek in de browsersoftware. De komende weken zullen cruciaal blijken, denkt Dirro. Aan de ene kant zullen hackers proberen uit te vinden waar het lek zit, zodat zij hun slag kunnen slaan. Anderzijds werken browsermakers en Adobe naarstig aan een oplossing. Tot nu toe is het beveiligingslek nog niet misbruikt. Grossman en Hansen weigeren verder commentaar op de mogelijke bedreigingen tot Adobe het lek gedicht heeft. Daarmee zou 90 procent van het probleem opgelost zijn. De waarschuwingssite US-CERT van de Amerikaanse overheid adviseerde gebruikers bepaalde functionaliteiten van hun browsers tijdelijk uit te schakelen, om de kans te verkleinen dat hun computer wordt gekaapt. Grossman zei dat 'we hope to release the details of our attack along with proof-of-concept code sometime soon, once Adobe has had time to address the issue in its software'. De beide onderzoekers hielden vervolgens een presentatie op de conferentie, waarbij bijna alle details werden weggelaten, maar waarbij ze wel probeerden de ernst van de zaak duidelijk te maken. 'The audience got the idea that this is bad, but we didn't talk about the specifics', zo zei Grossman. 'That will come later. The vendors thought they needed more time'. Voor de veiligheid, zo zeiden de onderzoekers, is het wellicht verstandig om gebruik te maken van Lynx, een tekstgebonden browser.