Egy weboldalra feltöltött képpel is el lehet lopni az odalátogató felhasználók belépési kódjait – demonstrálják majd szakemberek a holnap kezdődő Las Vegas-i Black Hat számítógép-biztonsági konferencián. A trükk alapja egy hibrid képfájl, amely formailag grafikus állománynak tűnik, valójában azonban program. Ez minden olyan weboldalon – például iWiW, Facebook, Vatera vagy eBay – használható felhasználói jelszavak begyűjtésére, amely megengedi képek felöltését.
„Sikerült összeraknunk egy olyan Java-appletet, amely valójában egy kép” – magyarázta a sajátos adathalász támadás lényegét a Computerworld-nek az egyik előadó, John Heasman. A hibrid fájlt a Graphics Interchange Format (GIF) képformátum, valamint a Java-osztályokat és a kapcsolódó metaadatokat tartalmazó Java Archive (JAR) tömörített állomány rövidítésének összevonásával GIFAR-nak nevezték el. A konferencián Heasman és két kollégája azt fogják bemutatni – az éles támadások idő előtti terjedését megelőzendő néhány fontos részlet kihagyásával –, miként lehet GIFAR állományokat készíteni.
Az ezekre épített támadás lényege, hogy a fájlt a webszerver egyszerű .gif képnek látja, miközben a böngésző Java virtuális gépe JAR-ként, és annak rendje és módja szerint kicsomagolja és futtatja. Innentől a támadóknak pofonegyszerű a dolga: elég egy olyan népszerű weboldalt keresni, amely megengedi képek feltöltését. Ha például egy eBay-regisztrációt hoznak létre, és az árverezett termék oldalára töltik fel a GIFAR fájlt, minden olyan látogató ebayes bejelentkezési kódjait meg tudják szerezni, aki be van jelentkezve az oldal lehívásakor.
A módszer ellen egyébként nem nehéz védekezni: szűrők beiktatásával a fenyegetett oldalak fenntartói blokkolhatják a hibrid fájlokat, és a Sun is patchelheti a Java futtatókörnyezetet – amin az előadók elmondása szerint már dolgozik is –, de a szakértők nem is erre az egyedi sebezhetőségre, hanem az általános problémára, az amúgy megbízható szájtok kompromittálhatóságára igyekeznek felhívni a figyelmet előadásukban. „Jönnek majd más módszerek, más technológiák, melyekkel ugyanezt meg lehet csinálni. Hosszú távon a webes alkalmazásoknak ellenőrzésük alá kell vonnia a tartalmakat” – figyelmeztetett Nathan McFeters társelőadó.
