På BlackHat-konferencen i Washington DC, der løb af stablen i sidste uge, præsenterede Michael Sutton fra Zscaler en sårbarhed, som gør det muligt at anvende online-webapplikationer offline.
Angriber lokal database
Det er blandt andet webapplikationer, som anvender Gears fra Google samt applikationer, der anvender Database Storage-funktionaliteten i HTML 5-specifikationen.
Både Gears og Database Storage giver mulighed for at gemme data i en lokal relationel database på det lokale filsystem.
Det giver ifølge Michael Sutton en ny angrebsmulighed for hackere. Der er tale om en variant af de famøse SQL injections som manipulerer data på webapplikationernes servere.
Nu får hackerne mulighed for at lave client-side SQL injection (clSQLi), advarer Michael Sutton.
clSQLi kan give hackerne adgang til at ændre og læse data fra den lokale database på pc'en.
Truslen er stadig i sin vorden
Michael Sutton mener, at truslen stadig er til at overse, da der endnu ikke findes så mange webapplikationer, der giver mulighed for at køre offline.
"Webapplikationer med lokale databaser ved hjælp af HTML 5 er sjældne på nuværende tidspunkt, da det kun er WebKit baserede browsere som har implementeret den funktionalitet (hvilket vil sige Safari)," skriver Michael Sutton på sin blog.
Truslen vil ændre sig
Han fortsætter dog med at advare mod, at det hurtigt kan ændre sig, og at clSQLi i dag er mulig på Gears-baserede applikationer:
"Det (truslen, red.) vil dog ændre sig med de nylige meldinger om, at offline Gmail adgang bliver udviklet til iPhone og Android-baserede mobiltelefoner ved hjælp af HTML 5 Database storage. Gears-understøttede applikationer findes allerede og derfor er csSQLi i dag en realitet," lyder det på Michael Suttons blog.
Nemt at få kendskab til databasestruktur
I forhold til normal SQL Injektion vil det være nemmere for hackeren at lave csSQLi. Ved normal SQL injektion kender hackeren oftest ikke den underliggende databasestruktur.
Med offline webapplikationer skal hackeren blot installere web-applikationen for at kunne dissekere den lokale databasestruktur. Derved ved han præcist, hvad han kan gå efter.
Michael Sutton understreger, at sårbarheden ikke skyldes Gears eller HTML 5 selv, men at det er en udvidelse af mulighederne for angreb fra sites med cross-site-scripting (XSS) sårbarheder.
"Det er vigtig at bemærke, at angrebet ikke har noget med usikkerheder i selve Gears-teknologien. Som nævnt bliver angrebet muligt, når Gears bliver implementeret på et site med eksisterende XSS-sårbarheder," skriver Michael Sutton.
Dansk sikkerhedsekspert: Forlang dokumentation for sikkerhed
Den danske sikkerhedsekspert Ulf Munkedal, stifter af Fort Consult og aktiv inden for it-sikkerhed i mange år, må desværre bekræfte fremkomsten af den ny trussel mod computerbrugerne:
"Jeg synes, Michael Sutton har en rigtig god pointe. Dette er potentielt en glidebane til endnu mere informations- og identitetstyveri fra brugerne. I dag kan en såkaldt cross-site-scripting - XSS - sårbarhed på en webserver gøre, at hackeren kan angribe brugerne af et website, hvis hackeren kan få dem til at klikke på et specielt konstrueret link. Angrebet kan eksempelvis bruges til at hackeren får adgang til aktive og fortrolige cookies på brugerens maskine, som ellers kun brugeren bør kunne se indholdet af," lyder det fra Ulf Munkedal, der fortsætter:
"Med endnu flere og vigtigere informationer lokalt på brugerens maskine end blot cookie-informationer åbner man naturligvis for, at der via et sikkerhedshul på web-sitet, kan stjæles informationer af en hacker, selvom brugerens maskine er helt sikker.
Det kan være fortrolige informationer, som er meget nemmere for en hacker at bruge direkte end eksempelvis sessions/authentication-data, som er det typiske indhold af cookies," vurderer Ulf Munkedal.
Ulf Munkedal opfordrer til, at webapplikationer sikres ordentligt og løbende testes for sårbarheder.
"Anbefalingen må naturligvis være, at brugerne sikrer sig, at de web-sites, som har adgang til brugernes informationer, løbende får sikkerhedsscannet og -testet deres applikationssikkerhed - og at det kan dokumenteres," foreslår Ulf Munkedal.
