Una foto que puede robar su cuenta de Facebook

En la conferencia de seguridad informática Black Hat en Las Vegas la próxima semana, los investigadores demostrarán el software que han desarrollado que podría robar credenciales en línea de usuarios de sitios web populares como Facebook, eBay y Google.

El ataque se basa en un nuevo tipo de archivo híbrido que se ve diferente a los diferentes programas. Al colocar estos archivos en sitios web que les permiten a los usuarios subir sus propias imágenes, los investigadores pueden eludir los sistemas de seguridad y hacerse cargo de las cuentas de los internautas que usan estos sitios.

"Hemos sido capaces de crear una Java applet que para todos los efectos es una imagen ", dijo John Heasman, vicepresidente de investigación de NGS Software.

Ellos llaman a este tipo de archivo un GIFAR, una contracción de GIF (formato de intercambio de gráficos) y JAR (Java Archive)), los dos tipos de archivos que están mezclados. En Black Hat, los investigadores mostrarán a los asistentes cómo crear el GIFAR y omitirán algunos detalles clave para evitar que se use inmediatamente en cualquier ataque generalizado.

Para el servidor web, el archivo se ve exactamente como un archivo.gif, sin embargo, la máquina virtual Java de un navegador lo abrirá como un archivo Java Archive y luego lo ejecutará como un applet. Eso le da al atacante la oportunidad de ejecutar código Java en el navegador de la víctima. Por su parte, el navegador trata este applet malicioso como si fuera escrito por los desarrolladores del sitio web.

Así es como funcionaría un ataque: los tipos malos crearían un perfil en uno de estos sitios web populares: Facebook, por ejemplo. - y cargue su GIFAR como una imagen en el sitio. Luego engañarían a la víctima para que visite un sitio web malicioso, que le indicaría al navegador de la víctima que abra el GIFAR. En ese momento, el applet se ejecutará en el navegador, dando acceso a los malos a la cuenta de Facebook de la víctima.

El ataque podría funcionar en cualquier sitio que permita a los usuarios subir archivos, incluso en sitios web que se usan para subir archivos. las fotos de las tarjetas bancarias o incluso Amazon.com, dicen.

Como GIFAR está abierto por Java, se puede abrir en muchos tipos de navegadores.

Sin embargo, hay una trampa. La víctima tendría que iniciar sesión en el sitio web que aloja la imagen para que funcione el ataque. "El ataque va a funcionar mejor donde sea que te hayas conectado durante largos períodos de tiempo", dijo Heasman.

Hay un par de formas en que el ataque GIFAR podría frustrarse. Los sitios web podrían reforzar sus herramientas de filtrado para que puedan detectar los archivos híbridos. Alternativamente, Sun podría ajustar el entorno de ejecución de Java para evitar que esto suceda. Los investigadores esperan que Sun encuentre una solución no mucho después de su charla sobre Black Hat. Pero los investigadores dicen que aunque una solución Java puede desactivar este vector de ataque, el problema de que el contenido malicioso se coloque en aplicaciones web legítimas es mucho problema más grande y espinoso. "Habrá otras formas de hacerlo, con otras tecnologías", dijo el desarrollador de GIFAR Nathan McFeters, investigador del Centro de seguridad avanzado de Ernst & Young.

"A largo plazo, las aplicaciones web tendrán que tomar el control de el contenido ", dijo McFeters. "Es un problema de aplicación web. El ataque de Java que estamos utilizando actualmente es solo un vector".

Él y sus compañeros presentadores de Black Hat han titulado su charla, Internet está roto.

En última instancia, los fabricantes de navegadores tendrán para hacer algunos cambios fundamentales en su software también, dijo Jeremiah Grossman, director de tecnología de White Hat Security. "No es que Internet esté roto", dijo. "Es que la seguridad del navegador está rota. La seguridad del navegador es realmente un oxímoron".