Офлайновые веб-сервисы упрощают кражу данных

Эксперты в области компьютерной безопасности предупреждают о том, что новые функции сайтов, позволяющие их использование в офлайновом режиме - без подключения к интернету, - могут стать привести к тому, что все данные пользователя станут добычей хакеров.

На проходящей в Вашингтоне конференции Black Hat специалист по кибербезопасности Майкл Саттон рассказал об опасностях, которые могут угрожать пользователям в связи с развитием офлайновых веб-сервисов.

Офлайновые веб-сервисы становятся все более популярными. В качестве примера можно привести почтовую службу Gmail, веб-интерфейс которой способен практически полностью функционировать при отсутствии соединения с Интернетом. Этот сервис Google не единственный , который обладает таким полезным свойством. Используется для этого приложение Gears.

На практике такой функционал достигается за счёт формирования локальной копии части базы данных сервера на клиентском компьютере. По словам Саттона, именно здесь и кроется опасность. Если веб-сайт является уязвимым к хакерским атакам (Саттон упоминает SQL-инъекции и межсайтовый скриптинг), то в этом случае компьютер пользователяттакже становится уязвимым: информация из его локальной базы данных может попасть в руки злоумышленников. Причем данная угроза не является чисто теоретической: эксперт проверил свои догадки на практике, воспользовавшись уязвимостью некоего ресурса Plymo (эта уязвимость уже устранена по его наводке).

Наиболее вероятный сценарий, которым будут пользоваться киберпреступники, по мнению Саттона, заключается в рассылке своеобразных фишинговых писем, которые будут завлекать пользователей не на фальшивые сайты, а на вполне легитимные, но уязвимые веб-ресурсы. После этого с помощью браузера пользователя злоумышленники смогут добраться до данных из офлайновой базы.

При этом совершенно неважно, насколько хорошо защищён компьютер пользователя: никакой антивирус здесь не поможет. Также неважно, насколько хорошо продумана защита инструмента, который позволяет организовать работу в офлайне. Важно то, насколько ответственно к вопросам безопасности относятся администраторы ресурсов, предоставляющих офлайн-сервисы.

"Gears является фантастической разработкой, и компания Google проделала огромную работу для того, чтобы сделать ее по-настоящему безопасной, - говорит Саттон. - Однако, применяя ее на уязвимом для хакерских атак сайте, вы подвергаете своих клиентов опасности".

Помимо приложения Gears, способного работать в ОС Windows, Mac OS X и Linux — то есть едва ли не на всех компьютерах, Саттон также упоминает находящуюся в стадии разработки спецификацию HTML 5. Здесь также предусматривается взаимодействие браузера с сайтами при помощи локальных БД, и эта возможность уже частично реализована в Apple Safari. Очевидно, что количество офлайновых веб-сервисов будет расти, причём очень быстрыми темпами.