Det er den stigende brug af web-feed-læsere og væksten i indholds-samlende tjenester på nettet, der giver hackere en simpel adgang til at placerer ondsindet kode, der kan opsnappe kodeord, installere trojanske heste eller vira på brugernes computere.
Web 2.0 gør problemet større
Advarslen kommer fra vicedirektør i sikkerheds-analysefirmaet Authentiom, Ray Dickinson.
”De, der laver ondsindet kode, udnytter bare mulighederne i at vi i web 2.0 bliver forbundet til hinanden gennem et hav af netværk. De kan distribuere deres kode effektivt gennem disse netværk,” siger han.
Web-feed tjenester som RSS giver mulighed for at samle informationer fra flere kilder og automatisk sende dem til computere uden at brugerne selv har besøgt nogen af de hjemmesider, som koden kommer fra.
Feed-læsere tjekker jævnligt feeds for opdateret indhold, som derefter sendes automatisk til de brugere der abonnerer på indholdet via deres feed-læsere.
”Sikkerhedsproblemet opstår, fordi mange RSS- og Atom-læsere ukritisk og ufiltreret henter indholdet. De tjekker ikke indholdet for ondsindet kode,” siger Mcihael Sutton fra net-sikkerhedsfirmaet, SPI Dynamics og fortsætter:
”Det er som ethvert andet sikkerhedsproblem ved web-applikationer. Problemet bunder i, at input fra brugeren uden videre bliver godkendt uden yderligere sikkerhedstjek. Det er et stort problem. Både server- og klientsiden antager at folk ikke bruger det til andet end det var tiltænkt.”
Hackere går efter blogs
Det er en forholdsvis nem sag for hackere at udnytte feeds til at distribuere ondsindet kode. Det kan gøres ved at placere et ondsindet JavaScript på en blog.
Hvis bloggens RSS feed er indstillet til at levere kommentarer som en del af feedet, bliver koden distribueret til alle abonnenterne.
En hackere kan også forsøge at få et inficeret blogfeed optaget af nogle af nettets indholdssamlende tjenester, der videresender indholdet til deres abonenters web-feed-læsere.
Hackerne er begyndt at få et godt øje til blog-feeds. En analyse fra Authentiom viser at ud af en stikprøve på 60.000 stykker ondsindet kode indeholdt de 1000 ordet ”blog” i deres webadresse.
Oversat af Christian Carlsen