Atak na Gears

Poświęcona kwestiom zabezpieczeń konferencja Black Hat wWaszyngtonie właśnie dobiegła końca, pozostawiając po sobie kilkainformacji na temat kolejnych luk w bezpieczeństwie. Tym razemproblem dotyczy technologii Google Gears i w określonychokolicznościach pozwala na przeprowadzanie ataku XSS. Podczas prezentacji Michael Sutton, zajmujący stanowisko badacza wspecjalizującej się w bezpieczeństwie IT firmie Zscaler,przedstawił sposób na przechwycenie przechowywanych lokalnie danychpobranych z Sieci. Swoją demonstrację Sutton oparł na przykładziezabezpieczeń Gears i Database Storage, będącej elementem HTML5. Wtym celu wykorzystał działający w modelu client-side kod JavaScriptdo komunikacji z lokalną bazą danych. Pod warunkiem występowania podatności na atak Cross-site scripting(XSS), metoda pozwala napastnikowi na naruszenie poufności iintegralności przechowywanych lokalnie poprzez czytanie orazzapisywanie nowych danych do lokalnej bazy danych. Zdaniem Suttona,samo Gears jest bezpieczne. Problem powstaje dopiero wówczas, gdyusługa zostanie zintegrowana z nieodpowiednio zabezpieczonymiwitrynami WWW. Wykorzystując lukę XSS, udało mu się wstrzyknąć kodJavaScript oraz wykonać atak typu SQL Injection na serwisPaymo. Szczegółowy opis błędu znajduje się na stronie firmy (format PDF).