HTML5 – Gefahren und kein Ende

Originalartikel von Robert McArdle, Senior Threat Researcher

Nachdem die schlimmsten Gefahren bereits beschrieben wurden, folgen nun weitere fünf Szenarien, die mithilfe der neuen Funktionalität von HTML5 denkbar sind.

  • Clickjacking einfach gemacht: Clickjacking an sich ist keine neue Angriffsmethode. Ihr Ziel ist, effizient Mausclicks zu stehlen und sie an eine andere, vom Angreifer angegebene Seite umzuleiten. Damit klickt das Opfer, ohne es zu wissen, auf einen versteckten Link. Die derzeit beste Gegenmaßnahme auf Seiten des Servers besteht im so genannten Framekilling. Im Prinzip geht es dabei darum, dass eine betroffene Site mithilfe von JavaScript prüfen kann, ob sie in einem iframe läuft und wenn ja, sich nicht mehr anzeigen lassen. Facebook, Gmail und andere nutzen diese Technik bereits. HTML5 nun ist um ein neues Sandbox-Attribut für iframes erweitert worden, das JavaScript stoppt. In vielen Fällen ist dies sinnvoll für ein sicheres Setup, doch die Kehrseite bedeutet auch, dass der aktuelle Schutz gegen Clickjacking damit nicht mehr funktioniert.
  • Port Scanning mit Cross Origin Requests oder WebSockets: Mit HTML5 kann ein Browser sich nun mit jeder IP-Adresse oder Site über nahezu jeden Port verbinden. Der Browser kann jedoch die Antwort auf diese Verbindung nicht lesen, ohne dass dies von der Ziel-Site ausdrücklich erlaubt wird. Forscher haben aber bereits gezeigt, dass die Zeit, die eine Anfragebearbeitung benötigt, dazu genutzt werden kann, um festzustellen, ob der Ziel-Port offen ist. Damit kann der Angreifer Ports des lokalen Netzwerks eines Opfers direkt aus dem Browser scannen.
  • Social Engineering mit Webbenachrichtigungen: Webbenachrichtigungen gehören zu den neuen Fähigkeiten in HTML5. Diese Popup-Fenster, die außerhalb des Browser erscheinen, lassen sich mit HTML beliebig anpassen, um eine ausgefeilte Interaktion aufzusetzen. Andererseits sind die Popups auch eine Goldgrube für Social Engineering-Angriffe wie Phishing oder FAKEAV. Das Bild vermittelt eine Vorstellung davon, was Angreifer mit der Funktionalität anstellen können:

  • Verfolgen von Opfern mit Geolocation: Geolokalisierung ist die meisten beachtete neue Funktionalität in HTML5. Aus Sicherheits- und Datenschutzgründen muss eine Site immer die Bewilligung des Nutzers einholen, bevor sie auf diese Informationen zugreift. Doch hat die Erfahrung mit Funktionalität wie Vistas User Access Control, Androids Anwendungsberechtigungen und ungültigen HTTPS-Zertifikaten gezeigt, dass Sicherheit auf Grundlage von Nutzerentscheidungen nur selten funktioniert. Sobald die Erlaubnis erteilt ist, kann die Site nicht nur den Standort des Opfers bestimmen, sondern auch die Bewegung des Opfers in Echtzeit nachvollziehen.
  • Verfälschen von Formularen: Eine weitere neue Funktionalität erlaubt es Angreifern, die JavaScript-Code in eine Site eingefügt haben (etwa über einen XSS-Angriff), das Verhalten der Formulare auf der Seite zu ändern. Beispielsweise kann ein Angreifer ein Formular in einem Online Shop so ändern, dass dieses statt Inhalte oder Login-Daten an die Einkaufsseite zu übermitteln, diese Informationen an die Site der Kriminellen übermittelt.

In dem ausführlichen Whitepaper HTML5 Overview: A look at HTML5 Attack Scenarios finden Interessierte alle Informationen zu den Neuerungen in HTML5 und auch den damit einhergehenden Gefahren.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*