/dev/nikc/blog

Kuolleiden purjehduskenkien seura

Jul 26th 2006

Danger Will Robinson, danger

14:57

Tietoviikko uutisoi Firefox-laajennuksesta joka vakoilee surffailijan lomakkeille täyttämiä tekstejä.

Teknisesti FormSpy pystyy seuraamaan hiiren ja näppäimistön lukutapahtumia [...] ja lukemaan siten käyttäjän tekemiä toimia. Ohjelmistolla on kyky lukea myös salasanoja ftp- ja pop3-liikenteestä

TiVi kertoo myös, että laajennus asentuu siitäkin huolimatta että asetuksissa on määritelty ettei asennuksia voi asentaa, paitsi käyttäjän hyväksymistä lähteistä.

Normaalisti käyttäjältä kysytään vahvistusta ennen uuden liitännäisen asentamista, mutta vakoiluohjelma osaa muokata selaimen asetustiedostoja siten, että vahvistuskysymystä ei käyttäjälle näytetä.

Onko tosiaankin niin että Firefoxin asetuksia voidaan muokata käyttäjän tietämättä, ilman ilkeitä laajennusosia? Tuo jälkimmäinen skenario on jotenkin tutunoloinen, eräästä toisesta selaimesta puhuttaessa. Tarvitaan lisätietoa.

McAfee:n sivustolta FormSpy malwaren kuvausta tutkittaessa sain tähänkin vastauksen. Eli homma toimii niin, että IE:ia hyväksikäyttämällä asentuu ensin Downloader AXM, joka vuorostaan muokkaa Firefoxin asetuksia ja asentaa FormSpy-laajennuksen. Tai näin minä sen ainakin käsitin.

Liekö tämä ensimmäinen vakoiluohjelma joka käyttää hyväkseen kahta selainohjelmaa?

FormSpyn keräämät tiedot lähetetään hyökkääjän palvelimelle kuitenkin osana Internet Explorerin prosessia liikenteen havaitsemisen vaikeuttamiseksi.

Tietoturvavitsi Internet Explorer:in hyväksikäyttäminen tarkoittanee myös sitä että tämäkin vitsaus koskee vain meitä onnekkaita Windows-käyttäjiä. Toisaalta tämänkin uhan voinee sivuuttaa olemalla käyttämättä IE:ia.

Mozilla.org ei vielä ainakaan kerro mitään. Jään jännittyneenä odottamaan miten tarina jatkuu.

Leave a comment

XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Meta

Pages

Search blog

Latest comments