IE åpner for «cookie-napping»

Sårbarhet i Internet Explorer forenkler id-tyveri.

Mange nettsteder tilbyr brukerne automatisk ved hjelp av en informasjonskapsel («cookie»), en liten tekstfil som lagres på brukerens datamaskin. Neste gang brukere besøker det samme nettstedet, slipper vedkommende å skrive inn brukernavn og passord, selv om nettleseren har blitt startet på nytt. Google, Twitter og Facebook er eksempler på slike nettsteder.

Vanligvis sørger nettlesere for at informasjonskapsler som hører til ett nettsted, ikke er tilgjengelige for andre nettsteder. Kapslene er knyttet til et gitt domenenavn.

Men nå har italienske Rosario Valotta demonstrert hvordan det i Internet Explorer likevel er mulig for ondsinnede å stjele informasjonskapsler fra brukerne.

Det kreves riktignok litt at brukeren lar seg lokke til å gjøre dumme ting, men metoden Valotta bruker for å lokke brukerne ut på glattisen, er velprøvd og særdeles effektiv. Løftet om en naken kvinne.

Valotta laget en Facebook-applikasjon som i praksis er et enkelt puslespill. Der skal offeret flytte fire puslespillbrikker på plass i en ramme. Dersom man setter puslespillet riktig sammen, skal man få se damen naken. Til Reuters forteller Valotta at han på tre dager hadde mottatt mer enn 80 informasjonskapsler fra sine 150 Facebook-venner. Det er en ganske stor andel.

Det som skjer i bakgrunnen er at brukeren når brukeren trekker i puslespillbrikken, er at vedkommende også får med seg innholdet i en iframe som viser nettopp teksten i den informasjonskapselen som angriperen ber om.

Det mest krevende med metoden, som er beskrevet i detalj her og i denne presentasjonen, er å finne ut hvor på brukerens maskin informasjonskapselen er lagret. Dette avhenger av brukernavnet til brukeren og hvilken versjon av Windows som benyttes. Men Valottas beskrivelse avslører at begge deler er fullt mulig å hente ut.

Til Reuters sier Jerry Bryant, en talsmann for Microsoft, at det er liten risiko for at ondsinnede vil lykkes med et virkelig «cookiejacking»-angrep.

– Gitt graden av brukerinteraksjon som kreves, er ikke dette noe vi anser for å ha høy risiko. For kunne påvirkes må en bruker besøke et ondsinnet nettsted, overbevises til å klikke og dra elementene rundt på siden, og angriperen må sikte mot en informasjonskapsel fra den websiden som brukeren allerede er logget inn på, sier Bryant.

Se videoen og vurder selv.

Til toppen