692652

Manipulierte Web-Seiten

21.04.2008 | 11:03 Uhr |

Die zunehmende Verknüpfung von Desktop-Tools mit Online-Angeboten eröffnet Hackern ein weites Betätigungsfeld. Installierte Programme lassen sich teilweise über den Browser steuern. Passiert das ohne Wissen des Benutzers, können präparierte Web-Seiten beispielsweise Dateien von der Platte lesen und auf den Server des Angreifers übertragen. Wir zeigen Ihnen, wie Sie sich wehren können.

Anforderung:

Fortgeschrittener

Zeitaufwand:

Mittel

Lösung:

Möglich werden diese Angriffe durch URIs (Uniform Resource Identifier), die einige Tools in die Registry eintragen. Mit der URI „picasa://“ beispielsweise starten Sie Googles Bilderverwaltung vom Browser aus oder mit „aim://“ den AOL Instant Messenger. Zusätzliche Parameter hinter der URI übergibt der Browser an das Tool.

Mit „picasa://downloadfeed/?url=http:// picasaweb.google.com/data/ feed/back_ compat/user/<Benutzername>/ albumid/ <AlbumID>“ etwa lädt Picasa das angegebene Album aus der Google-Bildergalerie. Umgekehrt ist es auch möglich, Bilder von Picasa auf einen beliebigen Server zu übertragen. Unter http://xs-sniper.com erklärt der Blogger Billy Rios das Verfahren und zeigt den verwendeten Code. Eine manipulierte Web-Seite täuscht ein Picasa-Update vor und lädt dabei Bilder von der Festplatte auf den Server des Angreifers.

So schützen Sie sich: Die URIs sind Komfortfunktionen, stellen aber zugleich ein Sicherheitsrisiko dar. In jedem Fall sollten Sie vorsichtig sein bei allen Links, die nicht mit „http://“ oder „https://“ beginnen, sofern diese auf einer nicht vertrauenswürdigen Web-Seite liegen. Für mehr Sicherheit müssen Sie auf den Komfort verzichten, den URIs bieten, und die zugehörigen Tools entfernen.

PC-WELT-Script: Welche URIs auf Ihrem PC registriert sind, können Sie über unser :Script pcwDUH.VBS ermitteln. Es erzeugt nach dem Start die Datei pcwDUH_List.TXT, die Sie in einem Editor öffnen. In der ersten Spalte sehen Sie die URI, in der zweiten den Namen, in der dritten das Programm. Im Prinzip ist es möglich, einzelne URIs aus der Registry zu entfernen. Diese sind unter „Hkey_ Classes_Root“ zu finden und durch den Wert „URL Protocol“ gekennzeichnet (Suchfunktion benutzen). Allerdings werden sie beim nächsten Update oder Aufruf des Tools meist wiederhergestellt.

0 Kommentare zu diesem Artikel
692652