株式会社博展 - 東芝実績動画
攻撃は、さまざまなプログラムとは異なるように見える新しいタイプのハイブリッドファイルに依存しています。これらのファイルをユーザーが自分のイメージをアップロードできるWebサイトに置くことで、研究者はセキュリティシステムを回避し、これらのサイトを使用するWebサーファーのアカウントを引き継ぐことができます。
"Java GIF(Graphics Interchange Format)とJAR(Java Archive)の縮小版であるGIFARと呼んでいます」と、NGS SoftwareのJohn Heasman副社長は言います。 )、混合された2つのファイルタイプ。
Webサーバーには、ファイルが.gifファイルとまったく同じように見えますが、このファイルは、GIFARを作成する方法を示しています。ブラウザのJava仮想マシンはJava Archiveファイルとして開き、アプレットとして実行します。これにより、攻撃者は被害者のブラウザでJavaコードを実行できます。この悪意のあるアプレットは、Webサイトの開発者によって書かれたものとして扱われます。
攻撃の仕組みは次のとおりです。悪意のある人は、このような一般的なWebサイトの1つ、たとえばFacebookにプロファイルを作成します - GIFARをサイトの画像としてアップロードします。その後、被害者を騙して悪意のあるWebサイトにアクセスし、被害者のブラウザにGIFARを公開するように指示します。その時点で、アプレットはブラウザで実行され、悪意のある人物が被害者のFacebookアカウントにアクセスできるようになります。
攻撃は、アップロードに使用されたWebサイトでもファイルをアップロードできるサイト銀行カードの写真、さらにはAmazon.comのようなものもあります。
GIFARはJavaによって開かれているので、多くの種類のブラウザで開くことができます。被害者は、攻撃が機能するようにイメージをホストしているWebサイトにログインする必要があります。 Heasman氏は、「GIFAR攻撃が阻止される可能性のあるいくつかの方法があります。 Webサイトは、フィルタリングツールを強化して、ハイブリッドファイルを見つけ出すことができます。また、SunがJava実行時環境を強化して、これを防ぐこともできます。しかし、研究者たちは、Javaの修正によりこの1つの攻撃ベクトルが無効になる可能性があるが、正当なWebアプリケーションに悪質なコンテンツが置かれる問題は、大きくて厄介な問題。 Ernst&YoungのAdvanced Security Centerの研究員であるGIFARの開発者であるNathan McFeters氏は、「これを行うには他の方法もあるだろう」と語った。
「長期的に見ると、Webアプリケーションは内容は、 "McFetersは言った。
彼と彼の仲間のブラック・ハットのプレゼンターは、インターネットが壊れているという話をする権利を持っています。
最終的に、ブラウザメーカーは、 White Hat Securityの最高技術責任者(CJ)Jeremiah Grossmanは、ソフトウェアにも基本的な変更を加えたと述べています。 「インターネットが壊れているわけではない」 「ブラウザのセキュリティは壊れている。ブラウザのセキュリティは本当に矛盾だ」