Bild mit JavaScript als Angriffsvektor

Online-Communities: Hybrid-GIFAR-Dateien stehlen persönliche Daten

Wie infiziert man ein Social Network? Auf der Black Hat Conference wurde ein neues Angriffsszenario vorgestellt: Mit JavaScript versehene Bilder versuchen, an die persönlichen Daten der Nutzer heranzukommen.

Die Fülle an persönlichen Daten, die in Online-Communities zu finden sind, versprechen nicht nur satte Werbeeinnahmen für den Betreiber. Auch Phisher, Spammer und Malware-Schreiber können davon profitieren. Kein Wunder also, dass die Black-Hat-Hacker versuchen, an diese User-Daten zu kommen.

Auf der Sicherheitskonferenz Black Hat USA 2008, die zurzeit in Las Vegas stattfindet, wollen Forscher eine neue Methode vorstellen, wie mit Hilfe so genannter Hybrid-Dateien persönliche Informationen ausspioniert werden können. Dabei wird Java-Code in scheinbar harmlose Bilddateien eingebettet. Diese Hybride werden als "GIFAR"-Dateien bezeichnet, eine Kombination aus GIF (Bild) und JAR (Java Archive).

John Heasman, Vizepräsident für Forschung bei NGS Software, beschreibt das neue Spionageprogramm als ein Java-Applet, das sich zunächst wie eine Bilddatei verhält. Folglich kann es unkontrolliert überall dort eingesetzt werden, wo Nutzer eigene Bilder, etwa Fotos, hochladen können. Soziale Netzwerke wie MySpace oder Facebook sind damit ebenso angreifbar wie eBay, auch wenn es Restriktionen für aktive Inhalte gibt.

Ein Angreifer legt sich ein Benutzerkonto bei einem Dienst wie zum Beispiel Facebook zu und lädt eine solche GIFAR-Datei als Bild hoch. Wenn ein angemeldeter Nutzer das Profil des Angreifers besucht, wird sein Browser angewiesen, das Java-Applet zu laden und auszuführen. Das Applet läuft nun im Browser des neuen Opfers mit den Berechtigungen, die Java-Applets des Website-Betreibers haben. Es hat damit etwa Zugriff auf das Nutzerprofil des Opfers und kann dessen persönliche Daten ausspionieren.

Die Forscher Nathan McFeters, John Heasman und Rob Carter wollen ihr Konzept am 7. August auf der Black-Hat-Konferenz vorstellen. Sie wollen jedoch ein paar Details auslassen, damit es nicht gleich zu einer Welle dieser Angriffe kommt. Sie weisen vorab auch darauf hin, dass die Kombination von GIF und Java nicht die einzige Möglichkeit für solche Hybride ist. Ganz neu ist der Trick allerdings auch wieder nicht, denn dass der Internet Explorer Javascript-Code in GIF-Dateien ausführt, ist schon länger bekannt. (PC-Welt/mja)