Frykter nye angrepstyper

Wid­gets er en type mi­ni­pro­gram­mer som vanligvis til­byr bru­ke­ren én enes­te funk­sjon. De hen­ter ty­pisk nyt­tig in­for­ma­sjon fra net­tet og pre­sen­te­rer for bru­ke­ren.

Det kan for eks­em­pel være en li­ten al­ma­nakk, en stop­pe­klok­ke el­ler en over­sikt over væ­ret de nes­te sju da­ge­ne.

Mi­ni­pro­gram­me­ne har vært reg­net for å være vel­dig sik­re. Si­den de ikke har til­gang til ope­ra­tiv­sy­ste­met, kan de ikke gjøre sær­lig stor ska­de på mo­bil­te­le­fo­nen de kjø­rer på.

Manglende helhetstenkning

Men det­te er Finjan uenig i. I en analyserapport for tredje kvartal 2007 hevder de at wid­ge­te­ne er sår­ba­re over­for man­ge for­skjel­li­ge ty­per an­grep.

I alle til­fel­le­ne de un­der­søk­te, var widgetomgivelsene (alt­så ope­ra­tiv­sy­ste­mer, tredjepartsapplikasjoner og nettwidgeter) be­hef­tet med en mang­len­de sik­ker­hets­stra­te­gi. Der­for til­lot de også ond­sin­ne­de wid­ge­ter å kjø­re.

Finjan fant også sårbarheter i sel­ve wid­ge­te­ne, in­klu­dert sli­ke som ble standardinstallert med ope­ra­tiv­sy­ste­met.

Fun­ne­ne har al­le­re­de fått Mi­cro­soft og Yahoo til å kom­me med sik­ker­hets­råd og programrettelser, samt gjen­nom­gå platt­for­men de kjø­rer på.

Økende popularitet gir økt risiko

Iføl­ge Yu­val Ben-Itz­hak hos Finjan kan wid­get-sårbarhetene set­te an­gri­pe­re i stand til å over­ta kon­trol­len av bru­ke­rens da­ta­ma­skin.

Sto­re por­ta­ler som iGoogle, Live.com og Yahoo! til­byr per­so­na­li­ser­te por­ta­ler som bru­ker wid­ge­ter. Si­den kule mi­ni­pro­gram­me­ne blir sta­dig mer po­pu­læ­re, må vi for­ven­te at de også blir mer in­ter­es­san­te fra en an­gri­pers syns­punkt.

Les mer: Web Security Trends Report - Q3/2007 fra Finjan