Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 28 reacties, 17.924 views •
Bron: ha.ckers, submitter: ..Piet..

Veiligheidspecialist Robert Hansen heeft een zero day-lek in Google Desktop ontdekt. Via een door Hansen ontwikkelde methode kan een man-in-the-middle-aanval worden opgezet, waarna via Google Desktop willekeurige programma's gestart kunnen worden.

Met behulp van kennis over het beveiligingsmodel van Google Desktop, waarbij onder meer eenmalige tokens, iframes en javascript worden gebruikt, heeft Hansen een methode ontwikkeld om zoekresultaten te manipuleren. In het kort komt deze erop neer dat de gebruiker naar Google gaat en een zoekactie uitvoert. De 'man in het midden' onderschept de query en geeft een eigen reactie terug aan de browser. Hierdoor wordt een stukje javascript uitgevoerd, waardoor een iframe wordt aangemaakt die de muiscursor volgt. De hacker creëert vervolgens opnieuw een zoekopdracht, zodat de content op de juiste wijze wordt gepositioneerd binnen het 'follow mouse'-script. Hierna volgt een metarefresh van de pagina, zodat Google Desktop geladen wordt. Nu is het aan de gebruiker om op een link te klikken, zodat een willekeurig Windows-programma geladen wordt.

Google Desktop logo (kleiner)Volgens Hansen is de beschreven aanval vrij moeilijk om uit te voeren; desalniettemin is de kans wel aanwezig dat dit gebeurt. Hansen, die zichzelf ook wel RSnake noemt, waarschuwt daarom dat een verregaande integratie van het web met de desktop geen goede zaak is. In het geval van Google wordt er geen gebruik gemaakt van een beveiligde verbinding en worden er op Googles site linkjes geplaatst waarmee programma's op de desktop-pc gestart kunnen worden; dit maakt het voor een aanvaller makkelijk om kwaardaardige content te injecteren. Eerder deze week was Google ook al negatief in het nieuws gekomen, omdat het bedrijf twee addons voor Firefox aanbiedt die via een onbeveiligde verbinding worden bijgewerkt. Ook dat biedt namelijk de mogelijkheid voor een man-in-the-middle-aanval.


De aanval in beelden

Reacties (28)

Reactiefilter:-128028+120+20+30
Moderatie-faq Wijzig weergave
In het kort komt deze erop neer dat de gebruiker naar Google gaat en een zoekactie uitvoert. De 'man in het midden' onderschept de query en geeft een eigen reactie terug aan de browser.
En hoe kan de man in het midden de zoekresultaten pagina van Google onderscheppen? Moet je dan sowieso niet al een virus o.i.d op je computer hebben staan die dat mogelijk maakt?
Je zou bijvoorbeeld de router onder controle kunnen hebben. Vooral binnen bedrijven zijn dit soort aanvallen vervelend. Het is dan natuurlijk zaak heel goede vriendjes te blijven met je netwerkbeheerder...
Een "Man in the middle" kan toch sowieso elke onbeveiligde webpagina, incl. Google's eigen websearch, of *deze* pagina op tweakers.net aanpassen? Wat is er dan zo bijzonder aan deze exploit?
Dat je een programma kan opstarten?
In het geval van Google wordt er geen gebruik gemaakt van een beveiligde verbinding en worden er op Googles site linkjes geplaatst waarmee programma's op de desktop-pc gestart kunnen worden; dit maakt het voor een aanvaller makkelijk om kwaardaardige content te injecteren.
Een SSL verbinding maakt een man-in-the-middle attack lastiger, maar niet onmogelijk. Het is namelijk zeer eenvoudig een een certificaat als www.google.com aan te vragen. Normaal heb je daar niet zoveel aan omdat bezoekers nooit op je server zullen uitkomen.

Echter bij een man-in-the-middle attach kun je ook DNS requests afvangen en manipuleren en zodoende het SSL verkeer redirecten naar de 'malafiede' website. Omdat de bezochte hostname overeenkomst met dat op het certificaat wordt de verbinding als 'beveiligd' beschouwd.

Tegenwoordig is het risico van een man-in-the-middle attack alleen aanwezig bij WiFi verbindingen.
Tegenwoordig is het risico van een man-in-the-middle attack alleen aanwezig bij WiFi verbindingen.
ARP Spoofing doet het anders nog verdomd goed op een ethernet netwerk :)

Lees meer op : http://en.wikipedia.org/wiki/ARP_spoofing
Volgens Hansen is de beschreven aanval vrij moeilijk om uit te voeren
Vrij moeilijk.. ik snap vrij weinig van dat filmpje. Zou iemand misschien kunnen uitleggen wat er nou (ongeveer) gebeurd? :?
niets, naar mijn idee? Ik begrijp niet helemaal wat er in het filmpje gebeurd, het is een beetje omslachtig en ziet erg rommelig uit, komt ook omdat t scherm zo klein is dat de vensters er niet inpassen die de maker gebruikt..

Maargoed, ik denk dat dit allemaal wel meevalt; ik gebruik de software niet, en ben nog niet veel pc's tegen gekomen waar het wel op staat..
Het filmpje ziet er erg rommeling uit, maar het komt er volgens mij op neer dat de hacker de HTTP pakketjes onderschept en deze aangepast terugstuurd (phising)

Alleen begrijp ik nog niet hoe de hacker het voor elkaar krijgt een applicatie te laten starten vanuit de browser zonder meldingen.
Nu is het aan de gebruiker om op een link te klikken, zodat een willekeurig Windows-programma geladen wordt
Dat stukje in het filmpje vond ik wel erg vreemd eigenlijk. Hij sleepte een link (typerti?) in de browser en klikte er toen op ofzo? :?
Naast het onder controle hebben van de router, kun je ook een wireless netwerk pakken.

zie http://ha.ckers.org/google-desktop-0day/ voor meer informatie.

het bijzondere aan deze exploit is dat je, middels google desktop geindexte, applicaties aan kan roepen zonder dat de gebruiker dit hoeft te merken. Het is alleen nog niet gelukt om parameters mee te sturen geloof ik.
Tja google is zo aan het afgeven op microsoft maar nu google ook dit soort software gaat aanbieden blijkt maar weer eens hoe moeilijk het is om het veilig te maken.

Maar goed die toolsbar zit ondertussen al bij heel veel software, ik wil hem niet, alleen maar zooi met riscio's zoals nu blijkt.
Daar zit inderdaad wel wat in ja, sowieso hebben we het in het geval van Google over een kleine desktop app, en MS heeft een gigantisch groot OS.

Het laat ze wel even zien dat het moeilijker is dan gedacht. :Y)
kortom op te lossen door ssl verbindingen te gaan gebruiken???
Ja, maar dat kost veel geld, SSL verbindingen belasten een server veel zwaarder als standaard HTTP verbindingen.
Waar en waneer heb jij Google weten 'afgeven" op microsoft ?

Bovendien gaat het hier niet over de toolbar, maar over google desktop.

Verder gaat het om een héél omslachtige manier om een de resultatenpagina te vervormen waardoor je de gebruiker zover kan krijgen om een programma te openen dat reeds op de PC aanwezig moet zijn ... hoge bomen vangen veel wind ?
Beetje slordig van Google... vreemd dat ze zelf niet aan een beveiligde verbinding hadden gedacht, ook niet na het lek eerder deze week.

Maar ja: hoe ambitieuser Google wordt, hoe meer fouten er hier en daar insluipen.
Geen beveiligde verbinding gebruiken heeft niets te maken met slordigheid. Een SSL webserver vraagt gewoon veel meer processor-kracht en organisatie dan een gewone HTTP verbinding.

Ofwel moet je een systeem hebben die ervoor zorgt dat een gebruiker na het RSA-afspreken van een symmetric key, bij dezelfde server blijft. Ofwel maak je een centrale SSL-brug waarna de requests naar de webservers worden doorgestuurd.

Anyway, het is vrij moeilijk voor 500+ servers verspreid over de hele wereld.
Je hebt gelijk maar de vraag is eigenlijk anders, moet je wel dit soort 'diensten' bieden als je het niet kan beveligen?
Maar ja: hoe ambitieuser Google wordt, hoe meer fouten er hier en daar insluipen.
Klinkt logisch als je het zo even hoort, beetje een standaard opmerking. Maar als ik er even nadenk snap ik er geen hout van... Hoe werkt dat dan? Leg eens uit?
Doordat Google nogal veel hooi op zijn vork neemt, wordt het minder voorzichtig met bepaalde dingen.
is toch logisch, des te meer hooi je op je vork neemt, des te meer code je moet schrijven, des te meer potentiële fouten in die code... des te meer mensen je producten gaan gebruiken, en des te meer fouten er aan het licht komen
Hoe meer uiteenlopende dingen ze willen doen, hoe gecompliceerder alles wordt. Google was eerst in één ding gespecialiseerd: zoeken naar webpagina's en afbeeldingen. Maar toen het bedrijf ging groeien, kwamen er steeds meer technieken bij. Dus door gebrek aan specialisme sluipen er steeds meer fouten in... je kunt namelijk ook te veel willen in te korte tijd.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True