JavaScript kan lekken opspeuren

Onthulling op beveiligingsbeurs

26 maart 2007 | Roland Van Hek Een beveiligingsexpert heeft op een beurs gedemonstreerd hoe pc's met behulp van JavaScript voor hackdoeleinden kunnen worden ingezet.

Op de ShmooCon in Washington heeft Billy Hoffman, beveiligingsmedewerker bij SPI Dynamics, afgelopen zaterdag een lekscanner gedemonstreerd die is geschreven in JavaScript. De scanner is een webapplicatie en kan de pc waarop hij draait ongemerkt gegevens laten verzamelen van andere websites, om deze vervolgens naar een derde partij te sturen. De tool, Jikto genaamd, kan dus stiekem zijn werk doen.

Hoffman heeft Jikto alleen gedemonstreerd, hij heeft het stukje malware nog niet uitgebracht. Hij zegt dat het hem vooral te doen is om de educatieve boodschap en om mensen het gevaar te tonen van dergelijke applicaties. "We willen niet iets uitbrengen wat kan worden gebruikt voor twijfelachtige doeleinden", legt Michael Sutten, een beveiligingsdeskundige van SPI Dynamics uit.

Hoffman stelt dat hij Jikto demonstreert om het bewustzijn van dit soort bedreigingen bij het publiek te vergroten. Kwetsbaarheden in websites kunnen worden gebruikt om schade aanrichtende JavaScript-code te injecteren. Jikto kan bijvoorbeeld op een site worden geplaatst, waarbij het misbruik maakt van een bekend lek in de websecurity dat bekendstaat als cross-site scripting.

Hoewel ze volgens sommigen weinig voorstellen, kunnen deze websecuritylekken volgens Hoffman een serieuze bedreiging vormen. Zeker in combinatie met JavaScript. Hij merkt op dat JavaScript elke vorm van beveiliging volledig weet te omzeilen.

Op ShmooCon werd Hoffman gevraagd om de tool vrij te geven. Maar de medewerkers van SPI Dynamics besloten om de Jikto-code niet openbaar te maken. Bezoekers van de beurs reageerden hierop door aan te geven dat het slechts een kwestie van tijd is alvorens anderen ontdekken hoe dit beveiligingslek precies werkt.

  

bron: ZDNet