Atak na użytkowników YouTube

Marta Janus, Kaspersky Lab 07-07-2010, 15:37

W niedzielę, 4 lipca, wielu fanów pewnej popowej gwiazdki o nazwisku Justin Bieber spotkała przykra niespodzianka: oglądając na youtube.com teledyski swojego idola, byli oni bombardowani wyskakującymi komunikatami o jego śmierci bądź przekierowywani na strony typu „tylko dla dorosłych”. Fakt ten dosyć szybko wzbudził zainteresowanie specjalistów z dziedziny bezpieczeństwa IT i okazało się, iż serwis YouTube padł ofiarą klasycznego ataku XSS (Cross-Site Scripting).

Ataki tego typu polegają na umieszczeniu w kodzie strony internetowej szkodliwego skryptu, który następnie jest przetwarzany przez przeglądarkę użytkownika tak, jak pełnoprawny element tej strony. Szkodliwy kod jest „wstrzykiwany” z wykorzystaniem luki w mechanizmie pobierania danych od użytkownika. Wiele stron - przede wszystkim forów i portali internetowych - bazuje na tym, że przetwarza i wyświetla tekst, który wcześniej użytkownik wpisuje w odpowiednim formularzu. Jeśli nie ma stosownych zabezpieczeń, chroniących stronę przed przetwarzaniem niepoprawnych bądź niedozwolonych danych, atakujący może z łatwością dopisać do jej kodu wszystko, co mu się żywnie podoba - na przykład skrypt przekierowujący do innej witryny lub pobierający szkodliwe oprogramowanie. Każdy kolejny użytkownik przeglądający daną stronę zostanie narażony na działanie tego skryptu.

>> Czytaj także: Co może grozić za atak XSS

W przypadku serwisu YouTube dziurawy okazał się być mechanizm dodawania komentarzy. Odpowiednio spreparowany tekst komentarza pozwalał na wstrzyknięcie dowolnego kodu HTML, który następnie był prawidłowo interpretowany przez przeglądarkę. Co za tym idzie, używając znaczników HTML, można było również wstrzykiwać do kodu strony skrypty JavaScript czy VBS.

Reakcja ze strony Google była szybka i efektywna - krytyczna luka, która pozwoliła na ten atak, została naprawiona jeszcze w dniu opublikowania, a niebezpieczne komentarze usunięte z serwisu.

Marta Janus, analityk zagrożeń Kaspersky Lab Polska>> Czytaj także: Chmurowy edytor wideo dostępny w YouTube (wideo)

Jednak cała ta afera powinna dać do myślenia: youtube.com to jeden z największych i najczęściej odwiedzanych serwisów internetowych - jak to możliwe, by tak poważny błąd uszedł uwadze developerów? Jak wielu użytkowników zostało zainfekowanych właśnie w ten sposób? Jak wiele innych znanych portali cierpi na podobną przypadłość? Na te pytania nie da się jednoznacznie odpowiedzieć. Nie ulega jednak wątpliwości to, że każdy właściciel witryny internetowej - niezależnie czy jest to osoba prywatna, firma czy też ogromny koncern - powinien z większą niż dotychczas starannością sprawdzić poziom bezpieczeństwa swojej strony i, w razie potrzeby, skorygować wszystkie znalezione luki oraz niedociągnięcia.

Marta Janus, analityk zagrożeń Kaspersky Lab Polska


  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2020»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
30