अवयव

एक फोटो जो आपके फेसबुक अकाउंट को चोरी कर सकता है

फेसबुक पर लाइक कैसे बढ़ाए बिना किसी ऐप के 2017

फेसबुक पर लाइक कैसे बढ़ाए बिना किसी ऐप के 2017
Anonim

अगले हफ्ते लास वेगास में ब्लैकहट कंप्यूटर सुरक्षा सम्मेलन में, शोधकर्ता उन सॉफ्टवेयर का प्रदर्शन करेंगे जो उन्होंने विकसित किए हैं जो फेसबुक, ईबे और गूगल जैसे लोकप्रिय वेब साइटों के उपयोगकर्ताओं से ऑनलाइन क्रेडेंशियल्स चोरी कर सकते हैं।

यह हमले एक नए प्रकार की संकर फ़ाइल पर निर्भर करता है जो विभिन्न कार्यक्रमों के लिए अलग-अलग चीज़ों की तरह दिखता है। इन फ़ाइलों को वेब साइटों पर रखने से उपयोगकर्ता अपनी छवियों को अपलोड कर सकते हैं, शोधकर्ता सुरक्षा प्रणालियों को खारिज कर सकते हैं और इन वेब साइटों का उपयोग करने वाले वेब सर्फर्स के खातों को ले सकते हैं।

"हम एक जावा के साथ आने में सफल रहे हैं एनएचजी सॉफ्टवेयर पर शोध के उपाध्यक्ष जॉन हेसमैन ने कहा, "एपलेट सभी छवियों और प्रयोजनों के लिए एक छवि है।"

वे इस प्रकार की फाइल को GIFAR कहते हैं, जीआईएफ (ग्राफिक्स इंटरचेंज प्रारूप) का संकुचन और जार (जावा आर्काइव)), दो फ़ाइल-प्रकार मिश्रित हैं ब्लैकहैट पर, शोधकर्ताओं ने दर्शकों को किसी भी बड़े हमले में तत्काल प्रयोग होने से रोकने के लिए कुछ महत्वपूर्ण विवरणों को छोड़कर GIFAR बनाने का तरीका दिखाया।

वेब सर्वर के लिए, फ़ाइल ठीक से.gif फ़ाइल की तरह दिखती है, हालांकि ब्राउज़र की जावा वर्चुअल मशीन इसे जावा आर्काइव फ़ाइल के रूप में खोल देगा और फिर इसे एक ऐप्पलेट के रूप में चलाएगा। इससे हमलावर को पीड़ित के ब्राउज़र में जावा कोड चलाने का एक मौका मिलता है। इसके भाग के लिए, ब्राउज़र इस दुर्भावनापूर्ण एप्लेट को मानता है जैसे कि यह वेब साइट के डेवलपर्स द्वारा लिखा गया था।

यहां बताया गया है कि हमले कैसे काम करेगा: बुरे लोग इन लोकप्रिय वेब साइटों में से एक पर एक प्रोफ़ाइल बनाते हैं - उदाहरण के लिए फेसबुक - और साइट पर एक छवि के रूप में उनके GIFAR अपलोड करें। तब वे पीड़ित को एक दुर्भावनापूर्ण वेब साइट पर जाकर भ्रमित करते थे, जो कि गिफायर को खोलने के लिए शिकार के ब्राउज़र को बताएंगे। उस समय, एपलेट ब्राउज़र में चलेगा, जिससे बुरे लोगों को पीड़ित के फेसबुक अकाउंट में प्रवेश मिलेगा।

हमले किसी भी साइट पर काम कर सकता है जो उपयोगकर्ताओं को फाइल अपलोड करने की अनुमति देता है, संभावित रूप से उन वेब साइटों पर भी जो अपलोड करने के लिए उपयोग किए जाते हैं बैंकिंग कार्ड की तस्वीरें या यहां तक ​​कि अमेज़ॅन.कॉम भी कहते हैं।

क्योंकि जीएफ़ार जावा द्वारा खोले जाते हैं, वे कई प्रकार के ब्राउज़रों में खोले जा सकते हैं।

एक पकड़ है, हालांकि पीड़ित को उस वेब साइट पर लॉग इन करना होगा जो काम के लिए हमले के लिए छवि की मेजबानी कर रहा है। हसन ने कहा, "जब भी आप अपने आप को लंबे समय तक लॉग इन करते हैं, हमला सबसे अच्छा काम करने जा रहा है।"

कुछ तरीके हैं जो गिस्टर हमले को नाकाम कर सकते हैं। वेब साइट्स उनके फ़िल्टरिंग टूल को बढ़ा सकते हैं ताकि वे हाइब्रिड फ़ाइलों को खोज सकें। वैकल्पिक रूप से, ऐसा होने से रोकने के लिए सन जावा रनटाइम पर्यावरण को कस कर सकता है शोधकर्ताओं का मानना ​​है कि सूर्य ब्लैकहैट की बात करने के बाद लंबे समय तक फिक्स न होने पर

लेकिन शोधकर्ताओं का कहना है कि जब एक जावा फिक्स इस एक हमले के वेक्टर को निष्क्रिय कर सकता है, तो वैध वेब अनुप्रयोगों पर मौजूद दुर्भावनापूर्ण सामग्री की समस्या बहुत ज्यादा है बड़ा और कांटेदार मुद्दा अर्नस्ट एंड यंग के उन्नत सुरक्षा केंद्र के साथ शोधकर्ता नेथन मैकफेटर्स ने कहा, "अन्य तकनीकों के साथ ऐसा करने के अन्य तरीके होंगे"।

"लंबे समय में, वेब अनुप्रयोगों को नियंत्रण रखना होगा सामग्री, "मैकफेटर्स ने कहा। "यह एक वेब अनुप्रयोग मुद्दा है। जावा हमला जो हम वर्तमान में उपयोग कर रहे हैं वह सिर्फ एक ही सदिश है।"

वह और उनके साथी ब्लैक हैट प्रस्तुतकर्ताओं ने अपनी बात को हकदार किया है इंटरनेट टूटा हुआ है।

अंत में, ब्राउज़र निर्माता अपने सॉफ़्टवेयर में कुछ बुनियादी बदलाव भी करने के लिए, व्हाइट टोट सिक्योरिटी के साथ मुख्य प्रौद्योगिकी अधिकारी यिर्मयाह ग्रॉसमैन ने कहा "यह नहीं है कि इंटरनेट टूट गया है," उन्होंने कहा। "यह ब्राउज़र की सुरक्षा टूट गई है। ब्राउज़र सुरक्षा वास्तव में एक आक्सीमोरॉन है।"