RSS læsere i hackernes søgelys

Brugere af web feeds som Real Simple Syndication (RSS) og Atom skal tjekke en ekstra gang, at de ikke downloader ondsindet kode, når de henter feeds fra deres favoritsteder på nettet.

Det er den stigende brug af web-feed-læsere og væksten i indholds-samlende tjenester på nettet, der giver hackere en simpel adgang til at placerer ondsindet kode, der kan opsnappe kodeord, installere trojanske heste eller vira på brugernes computere.

Web 2.0 gør problemet større
Advarslen kommer fra vicedirektør i sikkerheds-analysefirmaet Authentiom, Ray Dickinson.

”De, der laver ondsindet kode, udnytter bare mulighederne i at vi i web 2.0 bliver forbundet til hinanden gennem et hav af netværk. De kan distribuere deres kode effektivt gennem disse netværk,” siger han.

Web-feed tjenester som RSS giver mulighed for at samle informationer fra flere kilder og automatisk sende dem til computere uden at brugerne selv har besøgt nogen af de hjemmesider, som koden kommer fra.

Feed-læsere tjekker jævnligt feeds for opdateret indhold, som derefter sendes automatisk til de brugere der abonnerer på indholdet via deres feed-læsere.

”Sikkerhedsproblemet opstår, fordi mange RSS- og Atom-læsere ukritisk og ufiltreret henter indholdet. De tjekker ikke indholdet for ondsindet kode,” siger Mcihael Sutton fra net-sikkerhedsfirmaet, SPI Dynamics og fortsætter:

”Det er som ethvert andet sikkerhedsproblem ved web-applikationer. Problemet bunder i, at input fra brugeren uden videre bliver godkendt uden yderligere sikkerhedstjek. Det er et stort problem. Både server- og klientsiden antager at folk ikke bruger det til andet end det var tiltænkt.”

Hackere går efter blogs
Det er en forholdsvis nem sag for hackere at udnytte feeds til at distribuere ondsindet kode. Det kan gøres ved at placere et ondsindet JavaScript på en blog.

Hvis bloggens RSS feed er indstillet til at levere kommentarer som en del af feedet, bliver koden distribueret til alle abonnenterne.

En hackere kan også forsøge at få et inficeret blogfeed optaget af nogle af nettets indholdssamlende tjenester, der videresender indholdet til deres abonenters web-feed-læsere.

Hackerne er begyndt at få et godt øje til blog-feeds. En analyse fra Authentiom viser at ud af en stikprøve på 60.000 stykker ondsindet kode indeholdt de 1000 ordet ”blog” i deres webadresse.

Oversat af Christian Carlsen


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital HowTo: Sikkerhedstrusler

Under corona-krisen er antallet af cybertrusler steget med 33 procent. Det er særligt phishing-angreb, som oversvømmer mange virksomheder i de her dage. Corona-virussen har skabt en ny mulighed for at lokke uopmærksomme internetbrugere til at klikke på inficerede links. Nogle virksomheder oplever at op mod halvdelen e-mails, der sendes til dem, kommer fra it-kriminelle.

19. august 2020 | Læs mere


Digital HowTo: ERP – få optimal udnyttelse af dine store mængder af værdifulde data i den digitale transformation

Få indblik i, hvordan alle virksomheder kan optimere deres kritiske processer og hvordan du realiserer det uforløste potentiale gennem denne procesoptimering. Du får indsigt i forretnings-processer, digital værdiskabelse og teknologi, der har hjulpet mange virksomheder på vej med deres digitale transformation.

20. august 2020 | Læs mere


Digital HowTo: Fremtidens It service management - optimer dit setup med de nyeste teknologier

Det er vigtigere end nogensinde at have styr på kerneopgaverne i virksomhedens it-drift. Fra monitorering af systemerne til udrulning af applikationer, håndtering af service desken og alle udfordringerne med it-sikkerheden. Kom og bliv klogere på mulighederne for automatisering og optimering med ITSM og den nyeste robotteknologi.

21. august 2020 | Læs mere






Premium
Derfor kan Apples dristige processor-revolution give Mac'en længeventet renæssance - men det kan også blive dødsstødet
ComputerViews: Gennem det seneste årti har Apples Macs stået i skyggen af iPhonen og iPaden, men beslutningen om at smide Intel på porten og udvikle sine egne chips kan få helt afgørende betydning for Macens fremtid.
Computerworld
Tidligere Intel-udvikler: Derfor besluttede Apple sig for at droppe Intel
Det har vakt opsigt, at Apple har besluttet at droppe sin mangeårige samarbejdspartner Intel som leverandør af chip til Mac. Årsagen var helt konkret, fortæller tidligere Intel-topudvikler.
White paper
Hvad skal der til for at opgradere fra Dynamics AX til 365?
En del virksomheder står - eller vil snart stå - over for et vigtigt valg. Skal vi opgradere fra Microsoft Dynamics AX til 365? I denne folder kan du se, hvordan du får det bedste beslutningsgrundlag med en struktureret proces for at analysere, klassificere og afveje alle de vigtige aspekter. DU FÅR BLANDT ANDET SVAR PÅ DISSE SPØRGSMÅL: • Hvorfor er forarbejdet vigtigt? • Hvilke områder skal afdækkes? • Hvordan kommer jeg i gang?