一幅圖片便可線上竊取個人資料

將要在本週舉行的拉斯維加斯Black Hat安全會議上，研究人員將會演示他們開發的一種可以從諸如Facebook、eBay和Google等流行網站竊取用戶資料的軟體技術。

據稱攻擊使用一種新型的混合類型文件GIFAR，這種文件是GIF和JAR兩種類型文件的混合體，假如惡意將這種文件存放至可上傳圖片的網站上， GIFAR可以繞過安全系統，竊取瀏覽該圖片用戶的資料。在Black Hat大會上研究人員將演示如何製作這種GIFAR文件，但是將略過某些關鍵細節以防止其近期被用於大規模攻擊。

對於Web伺服器來說，這種文件就像是單純的.gif圖片，但是瀏覽器的Java虛擬機則會將其視為可執行的Java程式，這時攻擊者便有機會在受害者的瀏覽器上執行惡意程式，而不會被發覺。通過將這種「圖片」上傳至流行的合法Web網站，就能竊取大量瀏覽者的帳號密碼等個人訊息。

研究人員表示，制止這種攻擊可以依靠Web網站加裝新的文件過濾器或者通過限制Java虛擬機執行，不過要所有的網站做到萬無一失恐怕還需要很長一段時間。

InfoWorld新聞：A photo that can steal your online credentials

隨機文章