HTML5 Security - Weitere Angriffe
Einige Angriffe mit bzw. über HTML5 bilden den (vorläufigen) Abschluss des Themas "HTML5 Security". Los geht es mit dem Missbrauch des Fullscreen API:
Phishing mit vollem Bild
Wie sich das Fullscreen API von HTML5 für Phishing-Angriffe missbrauchen lässt, hat Feross Aboukhadijeh im Oktober 2012 demonstriert.
Ein Link, der angeblich und augenscheinlich (in der Statuszeile steht der "korrekte" Link) zur Bank Of America führt, öffnet tatsächlich über das Fullscreen API eine gefälschte Website der Bank. Während der PoC lediglich einen Screenshot anzeigt, würden echte Phisher natürlich eine funktionsfähige Webseite zum abphishen von Daten verwenden.
Es werden auch die zum jeweiligen Browser und System passenden UI-Komponenten samt geschlossenen/grünem Schloss als Hinweis auf eine HTTPS-Verbindung angezeigt (alles in Form von Screenshots), so dass sich beispielsweise Mac-Benutzer nicht über ein plötzlich erscheinendes Windows-Fenster wundern, wie es früher bei manchem Fake-Virenscanner der Fall war. Abb. 1 zeigt die Menüzeile des "Phishing-Angriffs", Abb. 2 die entsprechende normale Menüzeile des Browserfensters von Feross Aboukhadijehs Seite.
Abb. 1: Der Phishing-Angriff
Abb. 2: Ein echtes Browserfenster mit Feross Aboukhadijehs Seite
Der PoC funktioniert mit Chrome, Firefox und Safari, die UI-Komponenten zum Tarnen der Fälschung gibt es für alle drei Browser im Design von Windows, OS X und Ubuntu Linux, allerdings nur in der englischen Sprachversion.
Beim Einsatz des Fullscreen API gibt es für die Phisher einige Einschränkungen: Eine Seite kann nicht selbständig in den Vollbild-Modus wechseln, der Wechsel ist nur in Reaktion auf einen Klick oder Tastendruck möglich. Außerdem warnen einige Browser den Benutzer beim Wechsel in den Vollbild-Modus und/oder fragen den Benutzer um seine Erlaubnis. Unter Mac OS X spielt Chrome eine Einsekündige Animation ab, und Firefox blendet die in Abb. 3 zu sehende Warnung ein.
Abb. 3: Von Firefox eingeblendete Warnung beim Aufruf des Vollbild-Modus
Am Beispiel oben sehen Sie schon, dass es einige verräterische Kleinigkeiten gibt, an denen die gefälschte UI erkannt werden kann. Am auffälligsten sind neben falschen bzw. fehlenden Icons in der Menüzeile die mitunter falsche UI-Sprache und die in den meisten Fällen falsche Uhrzeit in der Menüzeile von Mac OS X. Beides lässt sich ggf. durch einige Anpassungen ändern.
Mögliche Gegenmaßnahmen werden auf der Mailingliste public-webapps@w3.org diskutiert, auch Feross Aboukhadijeh hat sich an der Diskussion beteiligt.
ActiveX statt HTML5 - Eine deutliche Warnung!
Am 10. Oktober 2012 hat Fred Gutierrez von Symantec über einen JavaScript Worm on Steroids berichtet. Der JS.Proslikefan genannte Wurm nutzt ActiveX und ist damit auf Windows und den Internet Explorer beschränkt, aber warum sollte demnächst nicht ein Wurm auf HTML5-APIs setzen und damit sämtliche Systemgrenzen überwinden?
Der Wurm hat einige unschöne Fähigkeiten:
- Er kann bei Google nach im Code hart kodierten Suchbegriffen suchen
- In den Ergebnissen wird nach möglichen SQL-Injection-Schwachstellen gesucht, die Fundstellen werden an die Cyberkriminellen gemeldet.
- Außerdem wird nach WordPress-Installationen gesucht, die eine Version der Erweiterung TimThumb verwenden, die eine seit längerem bekannte Fileupload-Schwachstelle enthält.
- Er durchsucht die Cookies nach Facebook-Sessioncookies, wird er fündig, treibt er sei Unwesen auf Facebook.
Der Wurm verbreitet sich über Netzwerklaufwerke und mobile Massenspeicher wie USB-Sticks und indem er sich als ZIP-Archiv in Verzeichnisse von Filesharing-Anwendungen kopiert.
Vorsicht, Dateidieb!
Krzysztof Kotowicz hat auf der Sicherheitskonferenz "Hack in Paris 2012"
unter anderem
demonstriert,
wie sich mit dem HTML5 Direcoty Upload von Chrome alle Dateien eines
Verzeichnisses ausspähen lassen. Er hat auch einen Namen für diese Art von
Angriffen:
Filejacking,
das Hijacking von Files. Wenn Sie die dort verlinkte Seite
http://kotowicz.net/wu/ aufrufen und den Anweisungen folgen,
hat Krzysztof Kotowicz Zugriff auf das als Downloadziel angegebene
Verzeichnis. Was er dabei bisher alles gefunden hat, verrät er in der
Präsentation
(PDF)
und dem
Video des Vortrags.
Das ist doch ein äußerst unschöner Einsatz der neuen Funktionen, oder?
Des weiteren hat Krzysztof Kotowicz das bereits erwähnte AppCache-Poisoning am Beispiel von Facebook demonstriert und gezeigt, wie einem Flickr-Benutzer Bilder untergeschoben werden können. Außerdem wurden die bereits bekannten neuen Clickjacking-Angriffe an Beispielen vorgeführt.
Fazit
HTML5 liefert viele Möglichkeiten für neue, spannende und interessante Webanwendungen - und genauso für fiese Angriffe. Als Webentwickler, vor allem als Frontendentwickler, müssen Sie diese Angriffsmöglichkeiten berücksichtigen. Tun Sie es nicht, müssen die Benutzer Ihrer Anwendung darunter leiden. Raten Sie mal, wer im Zweifelsfall den Ärger abbekommt?
Hiermit ist das Thema "HTML5 Security" abgeschlossen. Vorerst, denn es wird sicher auch in Zukunft noch berichtenswerte Angriffe und Schwachstellen geben. In der nächsten Folge geht es dann um Websicherheit allgemein.
Übersicht über alle Artikel zum Thema
- HTML5 Security - Eine Einführung
- HTML5 Security - SVG und Resident XSS
- HTML5 Security - Formulare auf Abwegen
- HTML5 Security - Gift für den Application Cache
- HTML5 Security - Der Local Storage
- HTML5 Security - Die SQL-Datenbank
- HTML5 Security - Cross Origin Requests
- HTML5 Security - Gefährliche WebSockets
- HTML5 Security - postMessage() sicher nutzen
- HTML5 Security - Angriffe im lokalen Netz
- HTML5 Security - Weitere Angriffe
Trackbacks