HTML5 gera novos problemas de segurança

Quando se trata de nova segurança problemas, a equipe de segurança do navegador Firefox tem a nova versão da Web HyperText Markup Language, HTML5, a principal na mente.

"Os aplicativos da Web estão ficando incrivelmente ricos com HTML5. O navegador está começando a gerenciar aplicativos de ponta cheia e não apenas páginas da Web ", disse Sid Stamm, que trabalha com problemas de segurança do Firefox para a Mozilla Foundation. Stamm estava falando no Simpósio de Segurança Usenix, realizado na semana passada em Washington DC

"Há muita superfície de ataque que precisamos pensar", disse ele.

Na mesma semana, Stamm expressou preocupação com HTML5, desenvolvedores do navegador Opera estavam ocupados corrigindo uma vulnerabilidade de estouro de buffer que poderia ser explorada usando o recurso de renderização de imagem de tela HTML5.

É inevitável que o novo conjunto de padrões do World Wide Web Consortium (W3C) para renderizar páginas da Web, conhecido coletivamente como HTML5, vem com um novo pacote de vulnerabilidades? Pelo menos alguns pesquisadores de segurança estão achando que este é o caso.

"O HTML5 traz muitos recursos e poder para a Web. Você pode fazer muito mais [trabalho mal-intencionado] com HTML5 simples e JavaScript agora do que era possível antes ", disse o pesquisador de segurança Lavakumar Kuppan.

O W3C está" cuidando de todo o redesenho da idéia de que começaremos a executar aplicativos dentro do navegador, e provamos ao longo dos anos como os navegadores são seguros ", disse Kevin Johnson. um testador de penetração com a empresa de consultoria de segurança Secure Ideas. "Temos que voltar a entender que o navegador é um ambiente malicioso. Perdemos o site disso."

Embora seja o nome de uma especificação por si só, o HTML5 também é usado para descrever uma coleção de conjuntos pouco inter-relacionados. de padrões que, juntos, podem ser usados ​​para construir aplicativos web completos. Eles oferecem recursos como formatação de página, armazenamento de dados offline, renderização de imagens e outros aspectos. (Apesar de não ser uma especificação do W3C, o JavaScript também é frequentemente incluído nesses padrões, tão amplamente usado na criação de aplicativos da Web).

Toda essa nova funcionalidade proposta está começando a ser explorada por pesquisadores de segurança. Kuppan e outro pesquisador postaram uma maneira de usar mal o Cache de Aplicativos Offline HTML5. Google Chrome, Safari, Firefox e beta do navegador Opera já implementaram esse recurso, e seriam vulneráveis ​​a ataques que usassem essa abordagem, eles notaram.

Os pesquisadores argumentam que, como qualquer site pode criar um cache em o computador do usuário e, em alguns navegadores, o fazem sem a permissão explícita do usuário, um invasor pode configurar uma página de login falsa em um site, como um site de rede social ou de comércio eletrônico. Uma página tão falsa poderia então ser usada para roubar as credenciais do usuário.

Outros pesquisadores estavam divididos sobre o valor dessa descoberta.

"É uma reviravolta interessante, mas não parece oferecer aos invasores de rede nenhuma vantagem adicional além do que eles já podem alcançar ", escreveu Chris Evans na lista de discussão Full Disclosure. Evans é o criador do software Very Secure File Transfer Protocol (vsftp).

Dan Kaminsky, cientista chefe da empresa de pesquisa de segurança Recursion Ventures, concordou que este trabalho é uma continuação dos ataques desenvolvidos antes do HTML5. "Os navegadores não apenas solicitam conteúdo, o renderizam e jogam fora. Eles também o armazenam para uso posterior … Lavakumar está observando que as tecnologias de cache de última geração sofrem esse mesmo traço", disse ele em entrevista por e-mail.

Os críticos concordaram que esse ataque dependeria de um site que não usasse SSL (Secure Sockets Layer) para criptografar dados entre o navegador e o servidor de páginas da Web, o que é comumente praticado. Mas mesmo que esse trabalho não tenha revelado um novo tipo de vulnerabilidade, isso mostra que uma vulnerabilidade antiga pode ser reutilizada nesse novo ambiente.

Johnson diz que, com o HTML5, muitos dos novos recursos constituem ameaças sozinhos, devido a como eles aumentam o número de maneiras pelas quais um atacante pode aproveitar o navegador do usuário para fazer algum tipo de dano.

"Por anos a segurança se concentrou em vulnerabilidades - estouro de buffer, ataques de injeção de SQL. Nós os corrigimos, nós os consertamos, nós os monitoramos ", disse Johnson. Mas no caso do HTML5, muitas vezes são os próprios recursos "que podem ser usados ​​para nos atacar", disse ele.

Como exemplo, Johnson aponta para o Gmail do Google, que é um dos primeiros usuários dos recursos de armazenamento local do HTML5. Antes do HTML5, um invasor pode ter de roubar cookies de uma máquina e decodificá-los para obter a senha de um serviço de e-mail on-line. Agora, o invasor precisa apenas entrar no navegador do usuário, onde o Gmail registra uma cópia da caixa de entrada.

"Esses conjuntos de recursos são assustadores", disse ele. "Se eu puder encontrar uma falha em seu aplicativo da Web e injetar código HTML5, posso modificar seu site e ocultar coisas que não quero que você veja."

Com o armazenamento local, um invasor pode ler dados do navegador ou insira outros dados sem o seu conhecimento. Com a geolocalização, um invasor pode determinar sua localização sem o seu conhecimento. Com a nova versão do Cascading Style Sheets (CSS), um invasor pode controlar quais elementos de uma página aprimorada por CSS você pode ver. O HTML5 WebSocket fornece uma pilha de comunicação de rede ao navegador, o que pode ser usado indevidamente para comunicações sub-reptícias de backdoor.

Isso não quer dizer que os criadores de navegador ignoram esse problema. Mesmo que trabalhem para adicionar suporte aos novos padrões, eles estão procurando maneiras de evitar seu uso indevido. No Simpósio Usenix, Stamm observou algumas das técnicas que a equipe do Firefox está explorando para mitigar os danos que poderiam ser feitos com essas novas tecnologias.

Por exemplo, eles estão trabalhando em uma plataforma de plug-in alternativa, chamada JetPack, que manteria um controle mais rigoroso de quais ações um plug-in poderia executar. "Se tivermos o controle completo da [interface de programação de aplicativos], poderemos dizer 'Este complemento está solicitando acesso ao Paypal.com, você o permitiria?'", Disse Stamm.

O JetPack também pode usar um modelo de segurança declarativo, no qual o plug-in deve declarar ao navegador cada ação que ele pretende realizar. O navegador então monitoraria o plug-in para garantir que ele permaneça dentro desses parâmetros.

Ainda assim, se os fabricantes de navegador podem fazer o suficiente para proteger o HTML5, os críticos argumentam.

"A empresa precisa começar a avaliar se vale a pena esses recursos para implantar os novos navegadores ", disse Johnson. "Esta é uma das poucas vezes em que você pode ouvir 'Você sabe, talvez [o Internet Explorer] 6 tenha sido melhor.'"

Joab Jackson cobre o software corporativo e as notícias gerais sobre tecnologia para

O IDG News Service. Siga Joab no Twitter em @Joab_Jackson. O endereço de e-mail de Joab é [email protected]