RSS-lesere kan slippe inn hackere

RSS-feeds skaper et hittil ukjent sikkerhet-trussel og mange RSS-lesere har ingen vern.

De siste dagene har hackere og sikkerhetseksperter gitt hverandre to stevner i Las Vegas. Sikkerhetskonferansen Black Hat USA ble holdt onsdag og torsdag, og fra fredag til søndag kunne de gå videre til den internasjonale hackersamlingen Defcon.

En av de mer oppsiktsvekkende innleggene på Black Hat ble holdt av sikkerhetsekspert Bob Auger på vegne av selskapet SPI Dynamics. Selskapet fokuserer på misbruk av ny internetteknologi. Augers innlegg, «Zero Day Subscriptions: Using RSS and Atom Feeds as Attack Delivery Systems», tok opp hvordan RSS-feeds kan misbrukes av uvedkommende til å få kontroll over klientmaskiner.

Årsaken er at mange utbredte RSS-lesere ikke inneholder noen form for sjekk av Javascript i feeden. Auger nevnte spesielt, ifølge referatet i ZDNet, Bloglines, RSS Reader, RSS Owl, Feed Demon og Sharp Reader.

Problemet er selvfølgelig ikke spesielt akutt når det gjelder RSS-feed fra kommersielle nyhetstjenester. Men Auger pekte på at mange bloggere tilbyr RSS-feed, og at det blant disse kan finnes en og annen som er mer opptatt av å hacke enn å gi sine synspunkter til kjenne.

En annen kilde til smitte via RSS kan være debattfora som tilbyr leserne å følge med per RSS, samtidig som de ikke sjekker eventuell Javascript i innleggene. Et innlegg med påhektet Javascript vil da formidle Javascripten over RSS, og hvis leseren ikke har vern mot Javascript, vil koden automatisk kjøre på RSS-mottakerens maskin.

Auger anbefaler brukere å holde seg til RSS-lesere med innstilbar sikkerhet. Han oppfordrer innholdsleverandører å unngå Javascript i sine feeds, og erkjenner at dette kan være problematisk for dem som bruker Javascript til å fore RSS-feeden med annonser. Generelt anbefaler han brukerne å ikke tillate Javascript i sin RSS-leser. Han advarer at flere RSS-lesere som leverer innhold via Microsofts nettleser Internet Explorer, nullstiller nettleserens sikkerhetsinnstillinger når innholdet skal presenteres. Til slutt henstiller han til dem som lager RSS-lesere at de legger inn elementær sikkerhet i sine programmer.

Til toppen