Rozszerzenie do Firefoksa wykrada dane

Rozszerzenie do Firefoksa wykrada dane25.10.2010 15:31
Rozszerzenie do Firefoksa wykrada dane
Źródło zdjęć: © Eric Butler via heise-online

Zaprezentowane podczas ToorCon rozszerzenie do Firefoksa Firesheep w efektownym stylu pokazuje, jak łatwo napastnicy mogą uzyskać dostęp do kont innych użytkowników, kiedy znajdują się w tej samej sieci - np. w niezaszyfrowanej sieci bezprzewodowej WLAN

Po kliknięciu przycisku Start w bocznym pasku pojawiają się coraz to nowe konta innych użytkowników, o ile tylko ci akurat znajdują się na stronach jednego z wielu serwisów internetowych obsługiwanych przez rozszerzenie. Obecnie są to: Facebook, Twitter, Flickr, Amazon, Windows Live, a także Google. Kiedy napastnik kliknie na jeden ze zgromadzonych rekordów, w których Firesheep często podaje także nazwę i zdjęcie ofiary, zostaje zalogowany na stronie serwisu z pełnymi uprawnieniami.

288763055880550547
Źródło zdjęć: © Kliknij, aby powiększyć (fot. Eric Butler via heise-online)

Firesheep nie interesuje się hasłami, ale przejmuje aktywną sesję na podstawie pliku cookie, który jest przesyłany przy każdym wywołaniu strony - zwykle w postaci niezaszyfrowanej. W wielu usługach jedynie proces logowania odbywa się przy zastosowaniu szyfrowania. Taki scenariusz ataku nie jest niczym nowym: Robert Graham z Errata Security już przed trzema laty zademonstrował to w podobnej formie podczas konferencji Black Hat.

Firesheep działa w Mac OS-ie X i Windows. W Oknach rozszerzenie wymaga instalacji biblioteki WinPcap. Napastnik za pomocą skryptów może dodać obsługę innych stron. Wiele spośród witryn, które są narażone na takie ataki, umożliwia przesyłanie wszystkich wywołań za pomocą HTTPS, co uniemożliwia kradzież ciasteczek. Rozszerzenie do Firefoksa HTTPS Everywhere na popularnych stronach automatycznie przełącza użytkownika na zaszyfrowaną wersję, o ile tylko taka istnieje.

wydanie internetowe www.heise-online.pl

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (0)