Video: How one tweet can ruin your life | Jon Ronson (September 2024)
Vi pratar mycket om exotiska skadliga attacker och skadliga säkerhetsproblem här på SecurityWatch, men en attack kan dra nytta av något så grundläggande som hur fönster visas på din skärm. En forskare har demonstrerat en teknik där offren luras att köra skadlig programvara bara genom att trycka på bokstaven "r."
I slutet av förra månaden skrev forskaren Rosario Valotta ett inlägg på sin webbplats där han skisserade en attack som byggdes kring "missbrukar webbläsarens användargränssnitt." Tekniken använder sig av några förfrågningar i webbläsare, med bara en streck socialteknik som kastas in.
Attacken
Det kallas "keyjacking", efter clickjacking-tekniken där offren luras att klicka på ett objekt som genererar oväntade svar. I Valottas exempel besöker du en skadlig webbplats och en automatisk nedladdning börjar. I Internet Explorer 9 eller 10 för Windows 7 utlöser detta ett alltför välbekant dialogfönster med alternativen Kör, Spara eller Avbryt.
Här kommer tricket: angriparen ställer in webbplatsen för att dölja bekräftelsefönstret bakom en webbsida, men håller bekräftelsefönstret i fokus. Webbplatsen uppmanar användaren att trycka på bokstaven "R", kanske med en captcha. En blinkande markör-gif på webbplatsen får användaren att tro att hans eller hennes tangenttryckningar kommer att visas i den falska captchas dialogruta, men den skickas faktiskt till bekräftelsefönstret där R är genvägen för Run.
Attacken kan också användas i Windows 8, med den socialtekniska aspekten modifierad för att locka offret att slå TAB + R. För detta föreslår Valotta att använda ett testtestspel.
För alla oss Chrome-användare där ute har Valotta räknat ut ett annat trick som finns i den traditionella klickjackningsvenen. I detta scenario går offret att klicka på något bara för att det ska försvinna under sista sekunden och klickregistret i ett fönster under.
"Du öppnar ett popunder-fönster vid vissa specifika skärmkoordinater och lägger det under förgrundsfönstret och startar sedan nedladdningen av en körbar fil, " skriver han. Ett fönster i förgrunden uppmanar användaren att klicka - kanske för att stänga en annons.
"Attackeren, med hjälp av några JS, kan spåra muspekskoordinater så, så snart musen svävar på knappen, kan angriparen stänga förgrundsfönstret, " fortsätter Valotta. "Om tidpunkten är lämplig finns det goda chanser att offret klickar på underliggande popunder-meddelande, så att själva lanseringen av den körbara filen."
Den mest skrämmande delen av denna attack är socialteknik. I sitt blogginlägg påpekar Valotta att M.Zalewski och C.Jackson redan har undersökt sannolikheten för att en person faller för klickjacking. Enligt Valotta var det framgångsrikt över 90 procent av tiden.
Panik inte för mycket
Valotta medger att det finns några hicka till hans plan. För det första kan Microsofts Smartscreen-filter slösa bort den här typen av attacker när de har rapporterats. Om den dolda körbara kräver admin priviliges, kommer användaråtkomstkontroll att generera en annan varning. Naturligtvis är Smartscreen inte idiotsäker och Valotta tar upp UAC-frågan genom att fråga, "behöver du verkligen administrativa privilegier för att orsaka allvarliga skador på dina offer?"
Som alltid är det enklaste sättet att undvika attacken genom att inte gå till webbplatsen. Undvik erbjudanden för konstiga nedladdningar och out-the-blue-länkar från människor. Observera också vilka fönster som markeras på skärmen och klicka på textfält innan du skriver. Du kan också använda webbläsarnas inbyggda stöd för popup / popunderblockering.
Om inget annat är denna forskning en påminnelse om att inte alla sårbarheter är slarvig kod eller exotisk skadlig programvara. Vissa kan vara dolda på platser som vi inte förväntar oss - som VoIP-telefoner - eller dra fördel av det faktum att datorer är utformade för att vara vettiga för människorna framför dem.
