De gadgets in Windows 7 zijn een risico. Dat beweren twee hackers. Gadgets hebben veel rechten, waardoor misbruik een mogelijkheid wordt. Ook zijn veel gadgets onveilig. Microsoft adviseert de functionaliteit uit te zetten.
Tijdens een presentatie op Black Hat demonstreerden de onderzoekers, Mickey Shkatov en Toby Kohlenberg, hoe gadgets kunnen worden misbruikt. De gadget-mogelijkheid in Windows 7 maakt het mogelijk om bijvoorbeeld een klok of een weerbericht op de desktop te tonen.
Veel gadgets die door derden zijn ontwikkeld, zijn volgens de onderzoekers slecht geschreven, niet ondertekend met een certificaat en niet voorzien van een beveiligde verbinding. Zelfs voor het updaten van de widgets wordt vaak geen beveiligde verbinding gebruikt. Aangezien de meeste gadgets in javascript en html worden geschreven, is het volgens de onderzoekers relatief eenvoudig om via een man in the middle-aanval eigen code toe te voegen tijdens het updaten van code.
Shkatov en Kohlenberg demonstreerden hoe het dataverkeer van een applicatie die zichzelf op de achtergrond aan het updaten was, werd onderschept en er een shell werd gedownload. Daarmee kregen de 'aanvallers' de controle over de computer die de gadget aan het updaten was. Daarvoor moet een aanvaller dus wel de controle over de internetverbinding van een slachtoffer hebben. Overigens zijn de gadgets die Microsoft meelevert volgens de onderzoekers van betere kwaliteit.
De twee tekenen daarnaast aan dat gadgets redelijk veel rechten hebben, terwijl gadgets doorgaans niet als software worden gezien. "Mensen zien gadgets als een schattig klein dingetje", aldus Kohlenberg. "Ook antivirusprogramma's laten gadgets dingen doen die in het geval van een normale binary direct een rode vlag zouden krijgen."
Gadgets kunnen onder meer Active X-objecten lanceren, cookies van Internet Explorer uitlezen en toetsenbordaanslagen uitvoeren. De onderzoekers demonstreerden een - niet erg realistische - aanval waarbij een onschuldig ogende gadget een Gmail-venster opende en alle contactpersonen spamde.
Gadgets waren ook al aanwezig in Windows Vista. Of de kwetsbaarheden ook op Windows Vista van toepassing zijn, is onduidelijk. "Dat hebben we niet getest", aldus Shkatov en Kohlenberg tegen Tweakers.net. De twee onderzoekers vonden het marktaandeel van Vista te klein.
Microsoft heeft eerder deze maand in reactie op de aankondiging van de presentatie gebruikers al het advies gegeven om widgets uit te schakelen. "We waren met stomheid geslagen toen ze daarnaast tegen ons zeiden dat ze de widget-functionaliteit zouden gaan uitfaseren", aldus Kohlenberg. Het is echter niet onwaarschijnlijk dat ook de komst van de nieuwe Metro-interface met de bijbehorende live tiles aan dat besluit heeft bijgedragen.
/i/1343331491.png?f=imagenormal "Gadgets Windows Vista")
/i/1289402606.png?f=fpa)
:strip_exif()/i/1315901421.gif?f=fpa)
:strip_exif()/i/1297349685.gif?f=fpa)
/i/1327055020.png?f=fpa)
:strip_exif()/i/1263563744.gif?f=fpa)
/i/1255183866.png?f=fpa)
/i/1301055229.png?f=fpa)
/i/1274086730.png?f=fpa)
:strip_exif()/i/1278154011.jpeg?f=fpa)
:strip_exif()/i/1318938769.jpeg?f=fpa)
/i/1310367102.png?f=fpa)
:strip_exif()/i/1298302627.gif?f=fpa)
:strip_exif()/i/1171451201.gif?f=fpa)
/u/71954/crop5daf689d5ff80.png?f=community){kind=small}
/u/203831/ts2.PNG?f=community){kind=small}
:strip_exif()/u/9676/12.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/259705/AC.jpg?f=community){kind=small}
