Sikkerhed Bug Fundet I Aptean Customer Reaktionstid computeren

Computerverdenen dag-til-dag skrider mere og mere, men med at cyberkriminelle også forbedre deres chancer for at angribe brugerens system. Der er for nylig blevet opdaget en fejl ved sikkerhedseksperter maskine Blake Welsh og Eric Taylor. Denne fejl har vist sig at ændre standard feedback-system kunde kaldes Aptean SupportSoft i en teknik, der vil hjælpe med systemets hackere nemt erhverve nyttige og private oplysninger om maskinens bruger. De data som gerne kodeord, brugernavn, og kreditkort legitimationsoplysninger er alle unauthorizedly stjålet. Desuden Welsh og Taylor har fundet en måde, hvorigennem bug kode kan indsættes i chat-sessioner. Med denne funktion, når en chat-session for kundeservice session straks iværksættes åbner et lille vindue med koden.

Bortset fra det, udnytter muligt hackere og cyberkriminelle at vedhæfte en smule kode i slutningen af kundesupport URL, (“http://VICTIM.com/sdcxuser/asp/frameset.asp?mainframe=//blog.cinder.com”). Med hjælp fra det bragt en anden URL i hovedrammen af systemets hjemmeside, hvor normalt vises chatten skærm kundesupport. Det er også blevet opdaget, at hackere har været i stand til at køre og bruge udnytte på flere hjemmesider, som omfatter steder som Sage, Comcast, CGI, Time Warner Cable og Cognizant. Den udnytte kendt som en cross-site scripting angreb har vist sig at testet på alle disse websider. Denne fejl kan være uskadelige som skaberen, Taylor og Walsh havde held gjort deres blog vises på kundesupport siden af Time Warners.

first

Men, som kriminelle i disse dage er altid på udkig efter måde at narre systemet brugerens kan denne teknik bruges forkert af cyber hackere at få fat i de nyttige data for brugeren bruges på maskine. Her vises den falske login-side, der anvendes af skaberne på deres egen server.

second

Den kundesupport siden på Xfinity s:

third

Endelig kan der også genereres en skadelig phishing udnytter den maskering, der ligner meget en side skabt af Comcast sikre servere.

forthEn af skaberen, Eric Taylor sagde: “Vi held gentaget Comcast login side på vores test site,”. “Vi injiceres derefter denne testside i Comcast XSS at teste sårbarheden videre og det faktisk havde injiceret vores HTML-side fra thug.org af den nøjagtige gengivelse af Comcast Log-in side og glemt Brugernavn Recovery side, der indeholder personlige oplysninger.”

Den oprettede udnytter dybest set virker ved at narre og forbigå tredjeparten tjeneste på system kaldet Aptean Supportsoft således at vise den kode, som er helt udenfor fra de vigtigste. Derefter SupportSoft af ‘kald’ på ydersiden server fuldt muligt hackere til at sende enhver form for skadeligt eller ondsindet kode på service system af kunden. Det kunne også omfatte advarsler for Javascript.

fifth

Den Aptean eget support system er dybest set kendt for at skjule sig bag login-skærmen, men det har vist sig, at store mængder af disse implementeringer er helt åbne og kan meget let angrebet af hackere og cyberkriminelle.