En funktion i både Internet Explorer, Mozilla, Safari, Opera og Konqueror ligger lige til højrebenet for svindlere, der vil lokke personlige oplysninger ud af intetanende internetbrugere.
Det danske sikkerhedsfirma Secunia har ved et tilfælde opdaget, at en funktion, der findes i alle markedets større webbrowsere, udgør en klar sikkerhedsrisiko.
Derfor kontaktede Secunia browserproducenterne for at gøre opmærksom på, at der var et problem.
- Det kunne de godt se, men de afviste relativt kategorisk at gøre noget ved det, siger teknisk direktør Thomas Kristensen fra Secunia.
Øget svindel
Han forklarer, at han for tre år siden næppe ville have tænkt over, at funktionen udgjorde en sikkerhedsrisiko, hvis han dengang selv var stødt på den.
- I dag ser vi så mange eksempler på phishing, som vi ikke så før. Så det gør det nu ganske problematisk, siger Thomas Kristensen.
Svindel over internettet er eksploderet det seneste års tid. Typisk udnytter svindlerne en kombination af sikkerhedshuller i software og manipulation af brugeren.
Et typisk phishing-angreb starter med en mail, der ser ud til at stamme fra en bank.
Som regel hævdes det i mailen, at der er et problem med modtagerens kreditkort. Derfor skal brugeren klikke på et link i mailen for at løse problemet.
Linket fører til en webside, som er camoufleret som den ægte hjemmeside for banken. Her skal brugeren indtaste alle oplysninger, som svindlerne siden kan bruge til at tømme eksempelvis bankkontoen.
Offentligheden må tage stilling
Den aktuelle sårbarhed, som Secunia har fundet i markedets førende webbrowsere, gør det muligt at overtage et link til et popup-vindue på en legitim hjemmeside.
Derfor har selskabet valgt at kategorisere det sammen med de øvrige sårbarheder, der findes i softwaren.
Ingen af browserproducenterne har reageret på Secunias henvendelser. Selskabet har nu mistet tålmodigheden og offentliggør sårbarheden, selv om der ikke er frigivet en patch.
- Når producenterne ikke har taget det alvorligt, så nu må vi se, om offentligheden mener, at det er en sårbarhed, siger Thomas Kristensen.
En enkelt producent, norske Opera, har dog tilsyneladende fjernet sårbarheden i den seneste betaudgave.
Relevante link fra Computerworld Sikkerhed Online
Microsoft Internet Explorer vilkårlig kode-indsættelse i vinduer
Mozilla / Mozilla Firefox vilkårlig kode-indsættelse i vinduer
Safari vilkårlig kode-indsættelse i vinduer