© saicle/Shutterstock.com
Wie sieht es derzeit mit der Sicherheit von HTML5 und JavaScript aus?

Angriffsziel Webbrowser


Zuletzt haben wir 2012 über die Sicherheit von HTML5 gesprochen [1], [2]. Da drängt sich doch die Frage auf, wie es denn aktuell um die Sicherheit von HTML5 und JavaScript bestellt ist. Gibt es neue Angriffe?

Die gute Nachricht vorweg: Neue Angriffe „in the wild“ gab es nicht, im Wesentlichen haben sich die Cyberkriminellen auf das Likejacking [3], also Clickjacking-Angriffe auf Facebooks Like-Button, beschränkt. Dafür waren die Sicherheitsforscher deutlich aktiver. Das Folgende ist ein kleiner Überblick über die aktuellen Forschungsergebnisse.

Botnet im Webbrowser ...

Die Idee, dass man ein Botnet aus Webbrowsern aufbauen könnte, ist schon etwas älter. Eine gute Beschreibung hat zum Beispiel Robert McArdle von TrendMicro 2011 veröffentlicht [4]. Bisher ist es zum Glück bei der Idee geblieben, noch haben die Cyberkriminellen die Möglichkeiten der Browser nicht für diesen Zweck genutzt. Dafür haben die Sicherheitsforscher die Möglichkeiten so eines Botnets immer weiter ausgelotet.

... dank Werbung

Auf der Sicherheitskonferenz Black Hat USA 2013 haben Jeremiah Grossman und Matt Johansen Ende Juli 2013 Angriffe über browserbasierte Botnets vorgestellt [5]. JavaScript-Schadsoftware im Browser hat viele Vorteile: Es gibt keine verräterische Schadsoftware auf dem Rechner, es werden keine Exploits zum Ausnutzen von Schadsoftware gebraucht, und 0-Day-Schwachstellen sind auch nicht nötig. Dazu kommt, dass der Missbrauch des Browsers keine Spuren hinterlässt: Nachdem der Benutzer die Webseite mit dem JavaScript-Schadcode verlassen hat, ist sie verschwunden (vorausgesetzt ihr Cachen wird verhindert). Das besonders Unschöne daran: Das ist kein Fehler, sondern ein Feature – das Web, vor allem das Web 2.0, ist darauf angewiesen, dass JavaScript-Code im Browser ausgeführt werden kann.

Jetzt stellen sich natürlich zwei Fragen: Wie kommt der JavaScript-Schadcode in den Browser, und was kann er anrichten? In den Browser gelangt er zum Beispiel auf Websites der Cyberkriminellen, kompromittierten harmlosen Websites, über präparierte Werbeanzeigen (dazu gleich noch mehr), Man-in-the-Middle-Angriffe in WLANs, Widgets, ... – wo ein Wille ist, ist auch ein Weg. Und nachdem der Schadcode erst mal in möglichst viele Browser eingeschleust wurde, kann er zum Beispiel Informationen wie Login-Daten oder Session-Cookies im Browser ausspähen, Cross-Site-Request-Forgery- und Clickjacking-Angriffe starten, klassische Schadsoftware über eine Drive-by-Infektion installieren [6], DDoS-Angri...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang