'Aantal aanvallen via widgets en gadgets zal stijgen'

Widgets en gadgets vormen een beveiligingsrisico en cybercriminelen zullen ze binnenkort gaan gebruiken bij aanvallen op computersystemen, zo stellen verschillende beveiligingsexperts.

Gadgets en Widgets zijn mini-applicaties die de gebruiker toe kan voegen aan platformen als de Google Desktop Sidebar en de Windows Vista Sidebar. Zowel gadgets die in het besturingssysteem geïntegreerd zijn, als de applicaties van derde partijen en webwidgets zijn vatbaar voor misbruik, ontdekte beveiligingsbedrijf Finjan. Onder andere de contacten-widgets van Yahoo en Windows Vista en de rss-widget van Live.com bleken kwetsbaarheden te bevatten.

Naarmate het gebruik van de kleine programmaatjes stijgt zal dit een steeds interessanter doelwit worden voor aanvallers, luidt de conclusie. Finjan raadt gebruikers aan om gadgets als volwaardige programma's te beschouwen en bij twijfel over de betrouwbaarheid de applicaties links te laten liggen. Ook zou voorzichtigheid betracht moeten worden bij de installatie van interactieve widgets en zouden organisaties een strikt beleid moeten voeren met betrekking tot het gebruik door werknemers. Beveiligingsonderneming Portcullis publiceerde vorige week al een rapport waarin beschreven werd hoe de api van de Vista-gadgets gebruikt kan worden voor aanvallen.

Microsoft Gadgets

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 18-09-2007 10:55 33

18-09-2007 • 10:55

33

Lees meer

Onderzoek: '98 procent van alle e-mail is spam'
Onderzoek: '98 procent van alle e-mail is spam' Nieuws van 4 december 2007
Keurmerk voor veilige programmeurs in de maak
Keurmerk voor veilige programmeurs in de maak Nieuws van 22 november 2007
'Twintig procent it-budget gaat naar security'
'Twintig procent it-budget gaat naar security' Nieuws van 10 oktober 2007
IBM: minder lekken ontdekt, maar meer malware
IBM: minder lekken ontdekt, maar meer malware Nieuws van 24 september 2007
'Kritiek lek in Acrobat Reader is gevaarlijk voor Windows'
'Kritiek lek in Acrobat Reader is gevaarlijk voor Windows' Nieuws van 23 september 2007
Lek in Google Desktop toont gevaar web-desktopintegratie
Lek in Google Desktop toont gevaar web-desktopintegratie Nieuws van 2 juni 2007
IE-bug zou phishing met Google Desktop mogelijk maken
IE-bug zou phishing met Google Desktop mogelijk maken Nieuws van 4 december 2005
Microsoft introduceert mini-applicaties: Gadgets
Microsoft introduceert mini-applicaties: Gadgets Nieuws van 14 september 2005
Yahoo neemt Konfabulator over en lanceert Yahoo! Widgets
Yahoo neemt Konfabulator over en lanceert Yahoo! Widgets Nieuws van 26 juli 2005
Officiële lancering Googles Desktop Search een feit
Officiële lancering Googles Desktop Search een feit Nieuws van 8 maart 2005
Lek in Google Desktop Search ontdekt
Lek in Google Desktop Search ontdekt Nieuws van 20 december 2004
Meer producten en artikelen
Privacy Besturingssystemen Netwerk en systeembeheer Beveiliging

Reacties (33)

-Moderatie-faq
33
30
15
5
1
1
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 20 september 2007 18:48
De widgets in Vista draaien onder de rechten die het sidebar.exe proces heeft en dat zijn de normale gebruiker-rechten. Middels leuke truukjes die ik in een sessie op de laatste devdays heb gezien kun je vrij simpel toegang tot alles krijgen. Leuk voor widget bouwers, maar het kan natuurlijk ook misbruikt worden.

Je kunt gebruik maken van .NET DLL's die werkelijk alles doen wat je maar wil. De truuk die hier gebruikt werd was een ActiveX koppeling maken. Dat houdt in dat er éénmalig een ActiveX DLL geregistreerd moet worden binnen het systeem (en de gebruiker dus iets moet klikken), waarna vervolgens elke dll zonder registratie gebruikt kan worden.

Kortom; feitelijk is een widget een htmlpagina als interface met eronder wat de schrijver maar wil. Zelfde risico's als een "gewoon" programma, echter zien veel gebruikers widgets niet als zodanig.
ultimasnake 18 september 2007 11:01
Lastig probleem vooral voor die noobs die het leuk vinden om al die 1000 toolbars te installeren enzo

Uberhaupt denk ik dat het binnen no-time zo zal zijn dat je zo een forward emailtje krijgt met daarin een leuke gadget voor je Vista sidebar, deze bevat een konijntje en als je de email 10.000x doorstuurd dan zal hij een dansje doen (die bullshit dingen) maar in de tussentijd trekt het lieve konijntje wel even je hele HDD leeg...


na 20 dagen gewerkt te hebben met vista heb ik de sidebar maar uitgezet zo interesant was het uiteindelijk allemaal niet. Het is zoals het al zegt: een gadget, daar raak je op den duur op uitgekeken.

[Reactie gewijzigd door ultimasnake op 22 juli 2024 13:39]

Verwijderd @ultimasnake18 september 2007 11:24
Daarom zijn er ook meerdere gadgets, waardoor je de sidebar iedere keer weer een andere gadget kunt geven. En ik kan me heel goed de zorgen van deze heren voorstellen; de gadget konden wel eens heel populair gaan worden, zodat je daar ook 1000 (-en) verschillende alternatieven van kan downloaden. En jan met de pet is nu eenmaal gek op konijntjes.

Simpel: Groeiende vraag>groeiend aanbod>meer misbruik.

(Bij de stijgende vraag naar P2P kreeg je ook steeds meer reut in de zoekresultaten.)
Bamsebjorn @ultimasnake18 september 2007 11:25
Ik heb de sidebar juist nét aan gezet. Heb een klok, een kalender en een weerbericht melder.
Vind het eigenlijk wel handig dat ik kan zien wat voor weer het buiten is zonder me om te hoeven draaien om uit het raam te kijken. :)
TUX2K 18 september 2007 11:01
Zie inderdaad de overeenkomst met BonziBUDDY.
Was ook z'n leuke api van Microsft die veelvoudige is misbruikt door cybercriminelen.
En niet alleen voor spyware.
SED @TUX2K18 september 2007 13:21
Api kun je gebruiken en misbruiken net zoals ieder deel van willekeurig welk OS dan ook.
Je kunt als systeembouwer proberen onverwacht misbruik te remmen maar de grens tussen misbruik en gebruik ligt voor een groot deel aan de getoonde interactie van de user. Bonzibuddy was een zelf geinstalleerde applicatie die leuke dingen deed en daarnaast nog activiteiten ontplooide waar je als gebruiker wel toestemming voor had gegeven zonder dat je het wist. Daar kun je de API levernacier niet op aankijken.
Deze opmerking is dus redelijk tendentieus te noemen.
wvdburgt 18 september 2007 10:59
En OS X dan? Deze hebben ze al 2 jaar maar daar hoor je niemand over? Ik denk trouwens dat dit bij OS X beter geregeld is. Het wordt immers gewoon gebruikt als een soort pagina.
Dreamvoid @wvdburgt18 september 2007 11:06
Bij OS X is het precies hetzelfde - niets houdt je tegen om een widget te installeren dat een scriptje draait dat (bv) alle documenten uit je home dir wist.
RM-rf @Dreamvoid18 september 2007 11:24
nee sorry, dan weet je niet zoveel van de API van dashboard widgets...
in OS X zijn widgets gebaseerd op enkel HTML+CSS+JS en worden uitgevoerd binnen de sandbox van de html-renderer (KHTML).
het zijn dus geen applicaties, maar eigen hooguit statische documenten met een lage vorm van interactiviteit dmv clientside scripting binnen een sandbox.

Ze hebben géén schrijfrechten, behalve twee functions setPrefs() en setup() welke bepaalde voorkeuren kunnen uitlezen en eventueel aanpassen.
verder kan men met behulp van getData verschillende data-formaten uitlezen....

de basis API zelf is redelijk veilig, gebaseerd op een sandbox, met uitzondering van eventuele exploits in de HTML-engine, alswel dat er een vulnerability kan ontstaan als men extern de ingelezen data zou kunnen manipuleren en XSS toepassen.

het btreffende rapport meld wel gevaarlijke widgets op alle OSen aangetroffen te hebben, veelal betreft het echter widgets die extern RSS-feeds inladen en dit wordt al gezien als een potentieel gevaar...
enkel binnen Vista wordt gemeld dat de standaard meegeleverde adressbook-widget een zeer serieus vulnerability kent die het uitvoeren van arbitraire code op de computer kan toelaten door een malformed request uit te voeren, bv door een ogenschijnlijk harmoos contact object toe te voegen

[Reactie gewijzigd door RM-rf op 22 juli 2024 13:39]

XIU @RM-rf18 september 2007 11:57
De widgets in Vista Sidebar zijn ook enkel HTML+CSS+JS...
OddesE @XIU18 september 2007 16:18
Mwoah.. een Shell object bestaat niet in JS.. het is VBScript wat je daar ziet. Dus niet enkel HTML + CSS + JS...
g4wx3 @OddesE18 september 2007 22:10
Shell objecten bestaan wel in de MS versie van JS, deze heet trouwens Jscript.

Ik weet dat, omdat ik deze zelf heb gebruikt gehad. zoek maar eens achter extra functionaliteit van HTA.

Ik weet echter niet of gadgets HTA rechten heeft, ws niet, maar de calls zitter er dus wel degelijk in
ddofborg @RM-rf18 september 2007 11:42
Hoe werkt dan een Widget die screenshots kan maken van schermpjes? Ik denk dat Widgets net wat extra systeen calls mogen doen via JS.
Verwijderd @ddofborg18 september 2007 16:58
Je kunt in Mac OS X een programma in een widget stoppen. Maar wanneer je zo'n widget installeert krijg je een waarschuwing te zien dat 'ie een programma bevat. Helaas klikken de meeste mensen die weg
Bram V @wvdburgt18 september 2007 11:10
De groep die OS X gebruikt is te klein om eer risico te vormen. Daarom is het bij Windows nu ook nog geen probleem.
serhat 18 september 2007 11:08
Ben ik zo gek of?
Een widget kan internet verbindingen maken om informatie op te halen.. dus kunnen deze uiteraard misbruikt worden om 'aanvallen' te genereren.. maar dit is toch met alles zo.. een mirc script kan dit bijvoorbeeld ook. Zolang je maar de mogelijkheid hebt om TCP/UDP verbindingen op te zetten. Je moet ze gewoon zien als volledige applicaties.

Of ga ik te kort door de bocht?

[Reactie gewijzigd door serhat op 22 juli 2024 13:39]

Verwijderd @serhat18 september 2007 11:28
....Finjan raadt gebruikers aan om gadgets als volwaardige programma's te beschouwen...

Nee je kopiëert het artikel ;)
jvo @serhat18 september 2007 11:22
Enigszins. Het belang zit hem meer in het kunnen ophalen van gegevens uit de computer. Daarom zijn java applets in de basis wel veilig. Deze draaien in een sandbox en kunnen standaard geen (nou ja, weinig) gegevens van de computer halen.
Verwijderd 18 september 2007 11:05
Ik veronderstel dat het met de standaard gadgets wel veilig is?
ATS @Verwijderd18 september 2007 11:21
Zowel gadgets die in het besturingssysteem geïntegreerd zijn, als de applicaties van derde partijen en webwidgets zijn vatbaar voor misbruik, ontdekte beveiligingsbedrijf Finjan.
Nee dus.
RM-rf @Verwijderd18 september 2007 11:31
nee:
Windows Vista Contacts Widget Vulnerability The Windows Vista operating system comes pre-installed with the “Vista Sidebar” as a basic component (for all flavors of the OS). The Sidebar contains a few existing widgets that can be used out-of-the-box. One of these widgets is the Contacts widget, that enables easy access to contacts stored in the Windows Contacts application (native component of Vista). Finjan researchers discovered a vulnerability in the contacts widget, which enables an attacker to run arbitrary code on the attacked machine by providing a malformed (albeit fully usable and with a completely innocent appearance) contact detail object. This contact, simply by being displayed in the Contacts Widget, would run arbitrary code on the local machine without any user interaction or verification.
mvds @Verwijderd18 september 2007 11:49
gadgets die in het besturingssysteem geïntegreerd zijn, als de applicaties van derde partijen en webwidgets zijn vatbaar voor misbruik
Nee dus :) Zie het vergedrukte stukje, daarmee bedoelen ze dus de gadgets die standaard meegeleverd worden :)

[Reactie gewijzigd door mvds op 22 juli 2024 13:39]

Verwijderd 18 september 2007 12:03
lol, heb die sidebar met al de gadgets gelijk al in de prullenbak gestopt,

what a waste of resources, 't is meer fancy dan functional
Verwijderd 18 september 2007 12:29
Vaag verhaal. In alle documenten die ze er over publiceren staat dat er veiligheid problemen zijn. Ze worden alleen nergens genoemd.
Het ruikt een beetje naar een "Finjan" publiciteit campagne.
Topeng 18 september 2007 13:00
Ach, hier op mijn werk is hetb schering en inslag. Hoeveel gebruikers wel niet een google toolbar hebben geinstalleerd met de popup blocker aan, waardoor de bedrijfsapplicatie niet meer werkt. Veel gebruikers hebben geen idee wat ze binnenhalen totdat applicaties niet meer werken. En ik kan het weer oplossen....... het is geen uitdaging meer ............
RM-rf @Topeng18 september 2007 13:37
Een bedrijfsapplicatie die niet werkt met een popupblocker aan (waarbij die van de google toolbar nog heel netjes is, enkel ongevraagde popups blokkeert)....

tja, ik vind dat niet zo'n sterk argument dat zou wijzen op de problemen van gebruikers die teveel dingen installeren... alhoewel het natuurlijk zo is dat gebruikers met teveel rechten om dingen te installeren negatief is, is het in dit geval gewoon de ontwikkelaar van de bedrijfsapplicatie die flink fout zat... ongevraagde popups zijn ook helemaal niet nodig, en mogen nooit zomaar het hele functioneren blokkeren.
kimborntobewild @Topeng18 september 2007 18:38
Leg uw baas eens een offerte voor de neus van een stel reborn/restore kaarten voor de cliënts en leg daarnaast de kosten die nodig zijn voor 't continue moeten herstellen.
Wie weet gaat je baas akkoord en mag je die dingen aanschaffen.
TeeDee @knirfie24418 september 2007 12:04
Volgens mij is dat in Opera trouwens best goed beveiligd
Dat is natuurlijk een vrij loze opmerking. Het wordt pas interessant als er bronnen, documentatie en om het helemaal af te maken, test-case te zien zijn.

Misschien gaat dit voor alle browsers op, maar maken de besturingssystemen er een potje van.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq