Firefox: błąd pozwala na przechwycenie haseł

Aviv Raff - izraelski specjalista ds. bezpieczeństwa - wykrył poważną lukę w zabezpieczeniach Firefoksa. Pozwala ona przestępcom na wykradanie danych niezbędnych do zalogowania się do serwisów WWW - np. systemu poczty elektronicznej czy serwisu społecznościowego.

Problem dotyczy sposobu, w jaki Firefox obsługuje proces uwierzytelniania na stronie wymagającej zalogowania się. Zdaniem Raffa, błąd sprawia, że w pewnych okolicznościach Fx wyświetli pozornie "zaufane" okienko logowania (z opisu będzie wynikało, że wyświetliła je bezpieczna strona), ale wprowadzone do niego dane zostaną przesłane do przestępców.

Aviv Raff przedstawił dwa podstawowe sposoby wykorzystania tej luki do przeprowadzenia skutecznego ataku. Pierwszy zakłada umieszczenie na złośliwej stronie odnośnika do "zaufanego" serwisu wymagającego logowania (np. systemu kont pocztowych lub e-banku). Po kliknięciu na ów odnośnik, internauta przejdzie na ową stronę i wyświetlone zostanie okienko logowania. Jeśli użytkownik wpisze tam nazwę użytkownika i hasło, dane te zostaną przesłane do przestępców. Drugi scenariusz przewiduje wysłanie do użytkownika (np. e-mailem) pliku graficznego, którego kliknięcie spowoduje przejście na stronę logowania (takim plikiem może być np. logo jakiegoś serwisu). Wtedy również zostanie wyświetlone pole logowania, a podane w nim informacje przejmą przestępcy.

W każdym z przypadków tak naprawdę wyświetlone zostaną dwa okna logowania o identycznym opisie - z tym, że pierwsze z nich będzie przygotowane przez przestępców. Po podaniu w nim hasła i loginu informacje te zostaną przechwycone (a następnie wyświetlone zostanie drugie - już autentyczne - okno logowania).

Izraelski specjalista opublikował w serwisie Youtube.com krótki film pokazujący, jak może zostać wykorzystany ów błąd. Z udostępnionych przez niego informacji wynika, że na taki atak narażona jest najnowsza wersja przeglądarki Mozilli - 2.0.0.11.

Przedstawiciele Fundacji na razie ograniczyli się jedynie do poinformowania, że sprawdzają doniesienia o błędzie.


Zobacz również