114626

Browser, Websites und Plug-ins sind gefährdet

09.10.2008 | 15:53 Uhr |

Vor zwei Wochen warnten Sicherheitsexperten erstmals vor einer neuen Angriffsmasche, mit der Hacker sich den Zugang zu Systemen erschleichen. Jetzt werden sie konkret.

Am Dienstag veröffentlichten die SecTheory -Chef Robert Hansen und WhiteHat-Security -Experte Jeremiah Grossman eine Liste von zwölf möglichen Angriffsvarianten, die Hacker beim sogenannten Clickjacking offen stehen. Ziel sind Browser, Websiten und Plug-ins, durch deren Manipulation Anwender dazu bewegt werden sollen, auf gefährliche Inhalte zu klicken.

Eigentlich hatten Hansen und Grossman schon vor zwei Wochen über die Sicherheitslücken berichten wollen, hatten ihre geplante Präsentation auf einer Sicherheitskonferenz in New York auf Bitte von Adobe aber zurückgezogen. Der Hersteller wollte seine Software zuerst gegen Clickjacking-Attacken patchen.

Die Katze aus dem Satz gelassen hat nun Flash-Entwickler Guy Aharonovsky, der auf seinem Blog in einer Demo zeigte, wie sich mit einer Clickjacking-Attacke die Einstellungen von Adobes Flash-Player verändern lassen. Der Angreifer hat dann Zugriff auf Webcam und Mikrofon des Rechners, das Opfer bemerkt von dem ganzen Vorgang nichts.

Das ist jedoch nur eine Spielart der sehr unterschiedlichen Clickjacking-Attacken. Hansen beschreibt vielfältige Szenarios: Manche überlagern die ursprüngliche Webseite mit einer neuen Page, andere nutzen Inline-Frames, um den Nutzer zu einem Klick auf eine bestimmte Stelle zu bewegen. Einige benötigen JavaScript, andere bedienen sich Cross-Site-Request-Forgery-Manipulationen - die Vielfalt der Angriffsarten erscheint bedrohlich.

Hansen sieht keinen Grund zur Panik. Clickjacking würde das Internet nicht unsicherer machen, als es ohnehin schon ist. Aber natürlich müssten Maßnahmen ergriffen werden. An erster Stelle sei eine höhere Sicherheit bei Browsern wichtig. Browser-Anbieter könnten mit einem schnellen Patch das Clickjacking-Problem eindämmen. Kontakt zu den Sicherheitsteams von Microsoft, Mozilla und Apple bestehe bereits.

Auf lange Sicht seien Browser-Patches aber keine Lösung. „Browser unterscheiden sich immer mehr untereinander. Jeden einzelnen zu patchen, macht das Problem auf Dauer nur komplizierter“, erklärt Hansen. Bei den Clickjacking-Untersuchungen seien er und Grossman auf unzählige Browser-Bugs gestoßen. Manche hätten zwar mit Clickjacking zwar nichts zu tun gehabt, aber es dürfte nur eine Frage der Zeit sein, bis andere Forscher auf neue Schwachstellen stoßen.

Meist handele es sich bei den entdeckten Bugs um browser- oder plattformspezifische Fehler. Mit dem zusätzlichen Code, der Clickjacking-Lecks in den einzelnen Browsern schließe, würde man nach Hansens Ansicht zwangsläufig neue Hintertürchen für bislang unbekannte Attacken öffnen.

Im Moment können Anwender nur wenig tun, um sich selbst zu schützen. „Eine schnelle Lösung für das Clickjacking-Problem wird es kaum geben, dafür ist es zu kompliziert“, so Hansen. Man müsse es jedoch ernst nehmen, um künftig gezielte Attacken zu vermeiden.

0 Kommentare zu diesem Artikel
114626