Script de aplicații încrucișate
Cross Application Scripting ( CAS ) este o vulnerabilitate care afectează aplicațiile desktop care utilizează un control de intrare insuficient. Un CAS permite unui atacator să introducă cod pentru a modifica conținutul unei aplicații desktop utilizate. În acest fel, va fi posibil să furați datele sensibile prezente în sistemul utilizatorilor. Atacurile asupra vulnerabilităților CAS au efecte perturbatoare, deoarece pot implica compromiterea completă a țintelor, indiferent de sistemele de operare și platformele.
Descoperită inițial de Emanuele Gentili și prezentată împreună cu alți doi cercetători, care au participat la studiul tehnicii și aplicațiilor acesteia, Emanuele Acri și Alessandro Scoscia în cadrul Summit-ului de securitate din 2010 din Milano, această nouă categorie de atac a avut succes pe produse bine cunoscute case de software comerciale și open source .
Conceptul de aplicație încrucișată
În mod similar cu interfețele web, cadrele moderne pentru crearea de aplicații grafice (în acest document ne referim în mod specific la GTK și QT , cele mai importante cadre cu mai multe platforme) permit utilizarea etichetelor în multe dintre widget - urile lor. Aceasta implică posibilitatea unei formatări deosebit de rafinate pentru textul conținut în obiectele de tip text și capacitatea de a reprezenta și gestiona conținut multimedia (imagini, audio și video) sau interactive (linkuri).
Este firesc ca proliferarea numărului de funcționalități, dacă nu este gestionată corect și adecvat, poate face posibile utilizări nedorite ale tehnologiei, cum ar fi manipularea interfeței grafice ( interfață grafică de utilizator). Exact același fenomen care apare cu utilizarea XSS pe o pagină web.
Tocmai din acest motiv am decis să definim acest comportament ca CAS (Cross Application Scripting). De obicei, aplicațiile desktop primesc cantități considerabile de intrare și acceptă un număr mare de caracteristici , cu siguranță mai mare decât orice interfață web.
Acest lucru face mai dificil pentru dezvoltator să verifice dacă toate datele din surse nesigure sunt filtrate corect. Există multe software-uri vulnerabile la formele de bază ale Cross Application Scripting, inclusiv numeroase aplicații de la producători cunoscuți.
Conceptul de cerere încrucișată de falsificare
După cum este evidențiat pentru Cross Application Scripting, CARF ( Cross Application Request Forgery ) este, de asemenea, o reproducere a vulnerabilității web CSRF similare în aplicațiile desktop.
În cazul CARF, conceptul de „legătură” și „protocol”, moștenit din mediul web, este mult mai extins, deoarece implică componente ale mediului grafic și, în unele cazuri, direct ale sistemului de operare.
Exploatarea vulnerabilității legate de CSRF necesită o anumită interacțiune cu utilizatorul. În multe cazuri această problemă nu este deosebit de obligatorie, deoarece utilizatorii pot fi induși cu ușurință să efectueze anumite acțiuni dacă interfața grafică a programului este modificată în mod adecvat.
După cum sa menționat, de fapt, modificările înșelătoare ale aspectului aplicațiilor se pot obține cu utilizarea CAS. Prin urmare, în aceste contexte putem vorbi despre o nouă metodă de phishing , al cărei pericol este amplificat de lipsa instrumentelor pentru detectarea acestui tip de atac în afara internetului sau a e-mail-ului.
Spre deosebire de tehnicile XSS care pot manipula și emite comenzi din partea browserului utilizatorului, prin CAS este de asemenea posibil să comunicați cu sistemul de operare și nu numai cu interfața sa grafică.
Elemente conexe
linkuri externe
- Discuțiile Summitului de securitate Milano 2010 , pe milano.securitysummit.it . Accesat la 3 august 2010 (arhivat din original la 3 septembrie 2010) .
- Diapozitive de prezentare tehnică ( PDF ), pe milano.securitysummit.it . Adus la 3 august 2010 (arhivat din original la 22 iulie 2011) .
- Video al prezentării (SecuritySummit 2010 Milano) , pe vimeo.com .
- Vulnerabilitatea Cross Application Scripting descoperită de IBM pe browserul Android , pe seclists.org .
