Da die geforderte Signatur wichtige Informationen nicht schützt, lässt sich Oracles Sicherheits-Check für Java-Applets umgehen. Zwar erhalten Java-Benutzer seit einiger Zeit eine Warnmeldung, etwa wenn sie unsignierten Java-Code durch ein Browser-Plug-in ausführen, oder es wird bei signierten Applets gefragt, ob er der Quelle auch vertraut. Allerdings lassen sich die angezeigten Informationen leicht manipulieren, wodurch dem Benutzer ein Applet untergeschoben wird, welches ihn ausspioniert.

Jerry Jongerius, Entwickler bei Java, hat herausgefunden, dass man den Namen und andere angezeigte Informationen in der Warnmeldung fast beliebig verändern kann, ohne es neu zu signieren. In einem von ihm beschriebenen Szenario benennt ein Angreifer ein von einem vertrauenswürdigen Hersteller signiertes Fernwartungs-Applet um und präsentiert es dem Opfer in einem ganz anderen Kontext als legitimes Programm. Beispielsweise wird ein Remote-Control-Applet plötzlich zum Schach-Programm, das der Besucher einer Spiele-Webseite wahrscheinlich nicht verdächtigt. Der Angreifer nutzt das Fernwartungs-Applet nun, um das Opfer auszuspionieren oder weitere Angriffe auf sein System zu starten. Dies setzt aber voraus, dass sich ein von einem vertrauenswürdigen Herausgeber signiertes Programm für üble Zwecke missbrauchen lässt.

Jongerius selber stellt auf seiner eigenen Webseite ein Tool bereit, mit dem Nutzer dieses Problem auch selber nachvollziehen können, indem sie einem von Oracle signierten Applet, dem Java Version Check, einen beliebigen Titel geben.

(jk, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE