Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties

Widgets en gadgets vormen een beveiligingsrisico en cybercriminelen zullen ze binnenkort gaan gebruiken bij aanvallen op computersystemen, zo stellen verschillende beveiligingsexperts.

Gadgets en Widgets zijn mini-applicaties die de gebruiker toe kan voegen aan platformen als de Google Desktop Sidebar en de Windows Vista Sidebar. Zowel gadgets die in het besturingssysteem geÔntegreerd zijn, als de applicaties van derde partijen en webwidgets zijn vatbaar voor misbruik, ontdekte beveiligingsbedrijf Finjan. Onder andere de contacten-widgets van Yahoo en Windows Vista en de rss-widget van Live.com bleken kwetsbaarheden te bevatten.

Naarmate het gebruik van de kleine programmaatjes stijgt zal dit een steeds interessanter doelwit worden voor aanvallers, luidt de conclusie. Finjan raadt gebruikers aan om gadgets als volwaardige programma's te beschouwen en bij twijfel over de betrouwbaarheid de applicaties links te laten liggen. Ook zou voorzichtigheid betracht moeten worden bij de installatie van interactieve widgets en zouden organisaties een strikt beleid moeten voeren met betrekking tot het gebruik door werknemers. Beveiligingsonderneming Portcullis publiceerde vorige week al een rapport waarin beschreven werd hoe de api van de Vista-gadgets gebruikt kan worden voor aanvallen.

Microsoft Gadgets
Moderatie-faq Wijzig weergave

Reacties (33)

De widgets in Vista draaien onder de rechten die het sidebar.exe proces heeft en dat zijn de normale gebruiker-rechten. Middels leuke truukjes die ik in een sessie op de laatste devdays heb gezien kun je vrij simpel toegang tot alles krijgen. Leuk voor widget bouwers, maar het kan natuurlijk ook misbruikt worden.

Je kunt gebruik maken van .NET DLL's die werkelijk alles doen wat je maar wil. De truuk die hier gebruikt werd was een ActiveX koppeling maken. Dat houdt in dat er ťťnmalig een ActiveX DLL geregistreerd moet worden binnen het systeem (en de gebruiker dus iets moet klikken), waarna vervolgens elke dll zonder registratie gebruikt kan worden.

Kortom; feitelijk is een widget een htmlpagina als interface met eronder wat de schrijver maar wil. Zelfde risico's als een "gewoon" programma, echter zien veel gebruikers widgets niet als zodanig.
Lastig probleem vooral voor die noobs die het leuk vinden om al die 1000 toolbars te installeren enzo

Uberhaupt denk ik dat het binnen no-time zo zal zijn dat je zo een forward emailtje krijgt met daarin een leuke gadget voor je Vista sidebar, deze bevat een konijntje en als je de email 10.000x doorstuurd dan zal hij een dansje doen (die bullshit dingen) maar in de tussentijd trekt het lieve konijntje wel even je hele HDD leeg...


na 20 dagen gewerkt te hebben met vista heb ik de sidebar maar uitgezet zo interesant was het uiteindelijk allemaal niet. Het is zoals het al zegt: een gadget, daar raak je op den duur op uitgekeken.

[Reactie gewijzigd door ultimasnake op 18 september 2007 11:01]

Daarom zijn er ook meerdere gadgets, waardoor je de sidebar iedere keer weer een andere gadget kunt geven. En ik kan me heel goed de zorgen van deze heren voorstellen; de gadget konden wel eens heel populair gaan worden, zodat je daar ook 1000 (-en) verschillende alternatieven van kan downloaden. En jan met de pet is nu eenmaal gek op konijntjes.

Simpel: Groeiende vraag>groeiend aanbod>meer misbruik.

(Bij de stijgende vraag naar P2P kreeg je ook steeds meer reut in de zoekresultaten.)
Ik heb de sidebar juist nťt aan gezet. Heb een klok, een kalender en een weerbericht melder.
Vind het eigenlijk wel handig dat ik kan zien wat voor weer het buiten is zonder me om te hoeven draaien om uit het raam te kijken. :)
Zie inderdaad de overeenkomst met BonziBUDDY.
Was ook z'n leuke api van Microsft die veelvoudige is misbruikt door cybercriminelen.
En niet alleen voor spyware.
Api kun je gebruiken en misbruiken net zoals ieder deel van willekeurig welk OS dan ook.
Je kunt als systeembouwer proberen onverwacht misbruik te remmen maar de grens tussen misbruik en gebruik ligt voor een groot deel aan de getoonde interactie van de user. Bonzibuddy was een zelf geinstalleerde applicatie die leuke dingen deed en daarnaast nog activiteiten ontplooide waar je als gebruiker wel toestemming voor had gegeven zonder dat je het wist. Daar kun je de API levernacier niet op aankijken.
Deze opmerking is dus redelijk tendentieus te noemen.
En OS X dan? Deze hebben ze al 2 jaar maar daar hoor je niemand over? Ik denk trouwens dat dit bij OS X beter geregeld is. Het wordt immers gewoon gebruikt als een soort pagina.
Bij OS X is het precies hetzelfde - niets houdt je tegen om een widget te installeren dat een scriptje draait dat (bv) alle documenten uit je home dir wist.
nee sorry, dan weet je niet zoveel van de API van dashboard widgets...
in OS X zijn widgets gebaseerd op enkel HTML+CSS+JS en worden uitgevoerd binnen de sandbox van de html-renderer (KHTML).
het zijn dus geen applicaties, maar eigen hooguit statische documenten met een lage vorm van interactiviteit dmv clientside scripting binnen een sandbox.

Ze hebben gťťn schrijfrechten, behalve twee functions setPrefs() en setup() welke bepaalde voorkeuren kunnen uitlezen en eventueel aanpassen.
verder kan men met behulp van getData verschillende data-formaten uitlezen....

de basis API zelf is redelijk veilig, gebaseerd op een sandbox, met uitzondering van eventuele exploits in de HTML-engine, alswel dat er een vulnerability kan ontstaan als men extern de ingelezen data zou kunnen manipuleren en XSS toepassen.

het btreffende rapport meld wel gevaarlijke widgets op alle OSen aangetroffen te hebben, veelal betreft het echter widgets die extern RSS-feeds inladen en dit wordt al gezien als een potentieel gevaar...
enkel binnen Vista wordt gemeld dat de standaard meegeleverde adressbook-widget een zeer serieus vulnerability kent die het uitvoeren van arbitraire code op de computer kan toelaten door een malformed request uit te voeren, bv door een ogenschijnlijk harmoos contact object toe te voegen

[Reactie gewijzigd door RM-rf op 18 september 2007 11:30]

De widgets in Vista Sidebar zijn ook enkel HTML+CSS+JS...
Mwoah.. een Shell object bestaat niet in JS.. het is VBScript wat je daar ziet. Dus niet enkel HTML + CSS + JS...
Shell objecten bestaan wel in de MS versie van JS, deze heet trouwens Jscript.

Ik weet dat, omdat ik deze zelf heb gebruikt gehad. zoek maar eens achter extra functionaliteit van HTA.

Ik weet echter niet of gadgets HTA rechten heeft, ws niet, maar de calls zitter er dus wel degelijk in
Hoe werkt dan een Widget die screenshots kan maken van schermpjes? Ik denk dat Widgets net wat extra systeen calls mogen doen via JS.
Je kunt in Mac OS X een programma in een widget stoppen. Maar wanneer je zo'n widget installeert krijg je een waarschuwing te zien dat 'ie een programma bevat. Helaas klikken de meeste mensen die weg
De groep die OS X gebruikt is te klein om eer risico te vormen. Daarom is het bij Windows nu ook nog geen probleem.
Ben ik zo gek of?
Een widget kan internet verbindingen maken om informatie op te halen.. dus kunnen deze uiteraard misbruikt worden om 'aanvallen' te genereren.. maar dit is toch met alles zo.. een mirc script kan dit bijvoorbeeld ook. Zolang je maar de mogelijkheid hebt om TCP/UDP verbindingen op te zetten. Je moet ze gewoon zien als volledige applicaties.

Of ga ik te kort door de bocht?

[Reactie gewijzigd door serhat op 18 september 2007 11:09]

....Finjan raadt gebruikers aan om gadgets als volwaardige programma's te beschouwen...

Nee je kopiŽert het artikel ;)
Enigszins. Het belang zit hem meer in het kunnen ophalen van gegevens uit de computer. Daarom zijn java applets in de basis wel veilig. Deze draaien in een sandbox en kunnen standaard geen (nou ja, weinig) gegevens van de computer halen.
Ik veronderstel dat het met de standaard gadgets wel veilig is?
Zowel gadgets die in het besturingssysteem geÔntegreerd zijn, als de applicaties van derde partijen en webwidgets zijn vatbaar voor misbruik, ontdekte beveiligingsbedrijf Finjan.
Nee dus.
nee:
Windows Vista Contacts Widget Vulnerability The Windows Vista operating system comes pre-installed with the “Vista Sidebar” as a basic component (for all flavors of the OS). The Sidebar contains a few existing widgets that can be used out-of-the-box. One of these widgets is the Contacts widget, that enables easy access to contacts stored in the Windows Contacts application (native component of Vista). Finjan researchers discovered a vulnerability in the contacts widget, which enables an attacker to run arbitrary code on the attacked machine by providing a malformed (albeit fully usable and with a completely innocent appearance) contact detail object. This contact, simply by being displayed in the Contacts Widget, would run arbitrary code on the local machine without any user interaction or verification.
gadgets die in het besturingssysteem geÔntegreerd zijn, als de applicaties van derde partijen en webwidgets zijn vatbaar voor misbruik
Nee dus :) Zie het vergedrukte stukje, daarmee bedoelen ze dus de gadgets die standaard meegeleverd worden :)

[Reactie gewijzigd door mvds op 18 september 2007 11:50]

lol, heb die sidebar met al de gadgets gelijk al in de prullenbak gestopt,

what a waste of resources, 't is meer fancy dan functional
Vaag verhaal. In alle documenten die ze er over publiceren staat dat er veiligheid problemen zijn. Ze worden alleen nergens genoemd.
Het ruikt een beetje naar een "Finjan" publiciteit campagne.
Ach, hier op mijn werk is hetb schering en inslag. Hoeveel gebruikers wel niet een google toolbar hebben geinstalleerd met de popup blocker aan, waardoor de bedrijfsapplicatie niet meer werkt. Veel gebruikers hebben geen idee wat ze binnenhalen totdat applicaties niet meer werken. En ik kan het weer oplossen....... het is geen uitdaging meer ............
Een bedrijfsapplicatie die niet werkt met een popupblocker aan (waarbij die van de google toolbar nog heel netjes is, enkel ongevraagde popups blokkeert)....

tja, ik vind dat niet zo'n sterk argument dat zou wijzen op de problemen van gebruikers die teveel dingen installeren... alhoewel het natuurlijk zo is dat gebruikers met teveel rechten om dingen te installeren negatief is, is het in dit geval gewoon de ontwikkelaar van de bedrijfsapplicatie die flink fout zat... ongevraagde popups zijn ook helemaal niet nodig, en mogen nooit zomaar het hele functioneren blokkeren.
Leg uw baas eens een offerte voor de neus van een stel reborn/restore kaarten voor de cliŽnts en leg daarnaast de kosten die nodig zijn voor 't continue moeten herstellen.
Wie weet gaat je baas akkoord en mag je die dingen aanschaffen.
Volgens mij is dat in Opera trouwens best goed beveiligd
Dat is natuurlijk een vrij loze opmerking. Het wordt pas interessant als er bronnen, documentatie en om het helemaal af te maken, test-case te zien zijn.

Misschien gaat dit voor alle browsers op, maar maken de besturingssystemen er een potje van.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True