Uma foto que pode roubar sua conta do Facebook

Na conferência de segurança em computadores da Black Hat em Las Vegas na próxima semana, os pesquisadores demonstrarão o software que desenvolveram e que podem roubar credenciais online de usuários de sites populares como Facebook, eBay e Google.

O ataque depende de um novo tipo de arquivo híbrido que se parece com coisas diferentes para diferentes programas. Ao colocar esses arquivos em sites que permitem que os usuários façam upload de suas próprias imagens, os pesquisadores podem contornar os sistemas de segurança e assumir as contas dos internautas que usam esses sites.

"Conseguimos criar um Java applet que para todos os efeitos é uma imagem ", disse John Heasman, vice-presidente de pesquisa da NGS Software.

Eles chamam esse tipo de arquivo de um GIFAR, uma contração de GIF (Graphics Interchange Format) e JAR (Java Archive), os dois tipos de arquivos que são misturados. Na Black Hat, os pesquisadores mostrarão aos participantes como criar o GIFAR enquanto omitem alguns detalhes importantes para evitar que ele seja usado imediatamente em qualquer ataque generalizado.

Para o servidor Web, o arquivo se parece exatamente com um arquivo.gif, no entanto, a máquina virtual Java de um navegador irá abri-lo como um arquivo Java Archive e, em seguida, executá-lo como um applet. Isso dá ao invasor a oportunidade de executar o código Java no navegador da vítima. Por sua vez, o navegador trata esse applet malicioso como se fosse escrito pelos desenvolvedores do site da Web.

Veja como um ataque funcionaria: os malvados criariam um perfil em um desses sites populares - Facebook, por exemplo. - E faça o upload de seu GIFAR como uma imagem no site. Então eles enganariam a vítima para visitar um site malicioso, que diria ao navegador da vítima para abrir o GIFAR. Nesse ponto, o applet seria executado no navegador, dando aos criminosos acesso à conta da vítima no Facebook.

O ataque poderia funcionar em qualquer site que permitisse aos usuários fazer upload de arquivos, potencialmente até mesmo em sites que são usados ​​para fazer upload fotos do cartão bancário ou até mesmo da Amazon.com, eles dizem.

Como os GIFARs são abertos pelo Java, eles podem ser abertos em muitos tipos de navegadores.

Há um problema, no entanto. A vítima teria que estar logada no site que hospeda a imagem para o ataque funcionar. "O ataque funcionará melhor onde quer que você esteja logado por longos períodos de tempo", disse Heasman.

Há algumas maneiras pelas quais o ataque GIFAR pode ser frustrado. Os sites da Web poderiam reforçar suas ferramentas de filtragem para que pudessem identificar os arquivos híbridos. Como alternativa, a Sun poderia reforçar o ambiente de tempo de execução Java para evitar que isso aconteça. Os pesquisadores esperam que a Sun consiga uma solução não muito depois de sua palestra sobre a Black Hat. Mas os pesquisadores dizem que, embora uma correção Java possa desativar esse vetor de ataque, o problema de conteúdo malicioso ser colocado em aplicativos Web legítimos é muito questão maior e mais espinhosa. "Haverá outras maneiras de fazer isso, com outras tecnologias", disse o desenvolvedor GIFAR Nathan McFeters, pesquisador do Centro de Segurança Avançada da Ernst & Young.

"No longo prazo, os aplicativos da Web terão que assumir o controle de o conteúdo ", disse McFeters. "É um problema de aplicativo da Web. O ataque Java que estamos usando atualmente é apenas um vetor."

Ele e seus colegas apresentadores da Black Hat intitularam sua palestra A Internet está quebrada.

Por fim, os fabricantes de navegadores terão para fazer algumas mudanças fundamentais em seu software também, disse Jeremiah Grossman, diretor de tecnologia da White Hat Security. "Não é que a Internet esteja quebrada", disse ele. "É que a segurança do navegador está quebrada. A segurança do navegador é realmente um oxímoro."