Spyware gebruikt Java: alternatieve browsers kwetsbaar

Malware / Virus / Spyware / AdwareDe tijd dat alleen gebruikers van Internet Explorer het risico liepen om besmet te worden met spyware lijkt definitief aan zijn eind te komen, aldus eWeek. Onlangs werd een nieuw type malware ontdekt dat, in plaats van ActiveX, Java gebruikt om zich op een systeem te nestelen. Bij het bezoeken van bepaalde websites wordt een gebruiker gevraagd om een door "Integrated Search Technologies" ontwikkeld Java-applet te installeren. Indien een gebruiker dit accepteert, wordt op de achtergrond een uitvoerbaar bestand gedownload dat leidt tot het starten van Internet Explorer, waarin vervolgens advertenties getoond worden.

Hoewel de nieuwe spyware relatief onschuldig is, en bovendien enkel een systeem kan infecteren als dit beschikt over de Sun Java Runtime Environment en een gebruiker enkele veiligheidswaarschuwingen negeert, spreken analisten toch over een zorgwekkende ontwikkeling. Het is immers voor het eerst dat meerdere browsers tegelijk doelwit zijn van één enkel spywareprogramma, en het risico bestaat dat op termijn meer agressieve applicaties van deze methode gebruik gaan maken: "Firefox zal voorlopig nog de veiligste keuze blijven als het op veiligheid aankomt, maar het idee dat Firefox-gebruikers onkwetsbaar zijn voor aanvallen is een illusie", aldus Jim Slaby van de Yankee Group

Door Arthur Scheffer

Tweakers nieuwsposter

Feedback • 19-03-2005 19:40
66 • submitter: soczol

19-03-2005 • 19:40

66

Submitter: soczol

Bron: eWeek

Lees meer

Trojaans paard vermomt zich als Firefox-extensie
Trojaans paard vermomt zich als Firefox-extensie Nieuws van 27 juli 2006
Drie kritieke bugs in Suns Java-engine
Drie kritieke bugs in Suns Java-engine Nieuws van 30 november 2005
Defensie-ministerie VS op zoek naar antispywaretool
Defensie-ministerie VS op zoek naar antispywaretool Nieuws van 18 mei 2005
Firefox-extensie past uiterlijk en functionaliteit websites aan
Firefox-extensie past uiterlijk en functionaliteit websites aan Nieuws van 13 mei 2005
Download.com verwijdert alle software met adware
Download.com verwijdert alle software met adware Nieuws van 5 mei 2005
Rapport: Spyware-industrie is miljarden waard
Rapport: Spyware-industrie is miljarden waard Nieuws van 4 mei 2005
Staat New York daagt bedrijf wegens spyware
Staat New York daagt bedrijf wegens spyware Nieuws van 29 april 2005
'Researchware', ongevaarlijke vorm van legale spyware?
'Researchware', ongevaarlijke vorm van legale spyware? Nieuws van 26 april 2005
Microsoft gaat antispywaretools gratis weggeven
Microsoft gaat antispywaretools gratis weggeven Nieuws van 15 februari 2005
'Mozilla-browsers doelwit spyware'
'Mozilla-browsers doelwit spyware' Nieuws van 12 februari 2005
Consortium tegen spyware valt uiteen
Consortium tegen spyware valt uiteen Nieuws van 8 februari 2005
Opnieuw kwetsbaarheden gevonden in IE en Mozilla
Opnieuw kwetsbaarheden gevonden in IE en Mozilla Nieuws van 8 januari 2005
Meer producten en artikelen
Bedrijfsnieuws

Reacties (66)

-Moderatie-faq
66
65
35
11
2
17
Wijzig sortering
Erkens 19 maart 2005 19:44
De gebruiker zal altijd de zwakste schakel zijn, zie hier een mooi voorbeeld dus, de gebruiker dient nog steeds akkoord te gaan, tja, eigen schuld dan.

Firefox op een niet windows machine zal iig geen last ervan kunnen hebben aangezien IE wordt opgestart die je niet hebt dan :)
Verwijderd @Erkens19 maart 2005 20:00
Tja, mensen die hiervoor gevoelig zijn, lopen wel meer risico's. Die gieten waarschijnlijk ook hun koffie over het toetsenbord als er een popup verschijnt waarin staat dat ze dat moeten doen. ("Ik vond het wel vreemd, maar er stond echt op het scherm dat het moest. Hoe kon ik nou weten dat het niet klopte?").
Mocht er toevallig zo iemand onder de lezers zijn: Ik heb zojuist een levensgevaarlijk virus op uw computer ontdekt. Het enige wat u eraan kunt doen is meteen al uw geld naar mijn bankrekening over te maken. Bij voorbaat dank. Het rekeningnummer is ...........
Verwijderd @Verwijderd19 maart 2005 23:06
ik vrees dat het te laat is, ik kan je bankrekening nummer al niet meer lezen
Verwijderd @Verwijderd19 maart 2005 20:23
Ach mensen zijn ook nog steeds op zoek naar de any key en reageren ook nog op berichten van de "bank" dat ze hun gegevens moeten bijwerken. Dus een beveiligingswaarschuwing wegdrukken is niet echt bijzonder.
The Noid @Erkens20 maart 2005 11:25
Het probleem is echter dat die waarschuwing niet laat zien WAT het applet wil doen (files lezen, of bij je clipboard komen, etc), alleen dat het mogelijk iets kan doen. En je kan niet aangeven dat je het aplet bijvoorbeeld alleen bij je clipboard wilt laten komen, maar niet bij je files.

Dus het is misschien wel een fout van de gebruiker, maar die melding zou ook een stuk beter kunnen.
Verwijderd @The Noid20 maart 2005 13:47
Een applet zou dat helemaal niet mogen kunnen volgens het Java Sandbox model.

Dit artikel gaat over een _proof of concept_ demo van een fout in de JRE van Sun.
Rakurai @Verwijderd20 maart 2005 14:26
Een signed applet kan wel degelijk volledige toegang krijgen tot je PC; vandaar ook de waarschuwing voor installatie; unsigned applets (die wel beperkt worden door het sandbox securitymodel) triggeren die installatiedialoog niet.
Verwijderd @Verwijderd20 maart 2005 15:23
Trendmicro heeft een keurig alternatief voor hun on-line ActiveX IE virus scanner in Java voor Firefox/etc, dus volledige toegang op een laag nivo is ook met Java gewoon mogelijk.

http://housecall.trendmicro.com/ (scant nu ook op spyware)
Remus @Verwijderd21 maart 2005 14:15
Het is zeker geen fout in Java, signed applets mogen, mits de gebruiker toestemming geeft, alles doen op een computersysteem. Misschien dat Sun echter wel moet nadenken over een vriendelijkere, duidelijkere waarschuwing.
Verwijderd @Erkens19 maart 2005 21:34
Ken je Search Assistant? of Shopping Assistant?
Die kun je niet bijna niet verwijderen. Kunnen ze die lui niet oppakken?
kimborntobewild @Verwijderd21 maart 2005 12:57
Afknallen, bedoel je
:P
Verwijderd @Erkens22 maart 2005 10:46
Wilt u deze software Accepteren? Nee
Wilt u deze software Accepteren? Nee
Wilt u deze software Accepteren? Nee
Wilt u deze software Accepteren? Nee

soms blijft het gewoon doorgaan tot je Ja zegt ....
ik kan me voorstellen dat mensen die minder behendig met de computer zijn, op den duur Ja drukken.
jurrie 19 maart 2005 20:19
Maak me maar wakker zodra dit ook op mijn linux machine kan gebeuren. Berichten als "Malware X wordt op PC Y geinstalleerd mits de gebruiker Z aantal waarschuwingen negeert en goedkeuring voor de installatie moet geven" zie je elke dag wel.

"Beveiligingsexperts spreken van een lek in het Linux OS. Er zwerft sinds kort een virus rond op het internet, dat, als de gebruiker het downloaden, een execute flag geven en als root opstarten, zelf partities unmount en deze daarna, nadat de root user 'Y' heeft ingedrukt, die partities leeg gooit."
Bram_S @jurrie19 maart 2005 21:02
Jammer genoeg heb je ook nog steeds van die figuren die standaard onder root werken (want dat gevoel van macht waren ze met hun vorige OS zo gewend). Die mensen vrágen d'r gewoon om om hun systeem om zeep te helpen. |:(
Verwijderd @Bram_S20 maart 2005 20:07
Jammer genoeg heb je ook nog steeds van die figuren die standaard onder root werken
Ik heb dus echt nog NOOIT gezien of gehoord dat een Unix/Linux-gebruiker als root gaat zitten browsen. En ik denk niet dat er virussen worden geschreven voor die ene mongool op de 500 gebruikers die dat wel doet.
Verwijderd 20 maart 2005 13:47
typisch, toen ik enkele weken een java-plugin heb moeten installeren voor de Firefox had ik meteen 3 java virussen te pakken. Ik kreeg ze ook nog niets eens verwijderd, heb toen maar java weer geuninstalled en het probleem was opgelost...Firefox ik ook niet zo veilig hoor...
Verwijderd 19 maart 2005 20:31
Is er niet een goede manier om IE te uninstallen voor windows xp?

ik draai firefox en ben er zeer tevreden mee
en heb IE eigenlijk niet meer nodig
Verwijderd @Verwijderd19 maart 2005 23:10
Op aanvraag een mini-workshop "Hoe krijg ik Internet Explorer niet-werkend" ;)
Als je wilt dat IE geen verbinding meer maakt met het Internet, ontzeg het dan gewoon de toegang m.b.v. je (Windows) Firewall.
Tip 2: Als je probeert de Internet Explorer map te verwijderen, zet het Windows File Protection System dit meteen terug, je kan dus WFPS uitschakelen of alle overbodige "iexplore.exe" bestanden op je PC zoeken en verwijderen zodat Windows IE niet meer kán terugzetten.
Derde tip: gebruik zeker geen programma's als XPLite om IE te verwijderen, het lijkt alsof IE is verwijderd maar achteraf krijg je meer problemen zónder IE dan mét IE: klik.
4de tip: als je Windows XP SP1 of hoger hebt, kan je in "Windows-onderdelen toevoegen of verwijderen" van het Software-gedeelte in het Configuratiescherm het vinkje verwijderen bij Internet Explorer om IE ontoegankelijk te maken (niét te verwijderen).
Tot slot: als je Windows XP Pro SP1 of hoger hebt, kan je met het Groepsbeleid (Start, Uitvoeren, typ "gpedit.msc") links bladeren naar Gebruikersconfiguratie, Beheersjablonen, Systeem en rechts bij "Opgegeven Windows-toepassingen niet uitvoeren" het programma "iexplore.exe" toevoegen. :)
Conclusie: als je Internet Explorer probeert te verwijderen, zal je écht niet meer voordeel hebben dan alleen maar wat extra schijfruimte (nog geen 2 MB). Wil je echt van IE af, dan kan je het enkel ontoegankelijk maken met bovenstaande tips.
Dát is pas tweaken ;)
Verwijderd @Verwijderd20 maart 2005 15:31
Maar het uitschakelen van IE zorgt er niet in alle gevallen voor dat Windows niet meer internet-ready is, explorer.exe zelf kan ook gewoon als internet browser gebruikt worden.
Quacka @Verwijderd19 maart 2005 20:37
heel simpel:
Zet een fout proxyadres in explorer: verbinding maken is onmogelijk!

-edit- het is idd mogelijk om een html-bestand mee te sturen, alleen dat moet dan wel een bestand zijn inclusief alle spyware: dat lijkt me niet snel mogelijk.

Wat gebeurt er trouwens als je het bestand iexplore.exe verwijderd uit je program files/internet explorer/-map?
Of nog beter: als je de hele map verwijderd?
Erkens @Quacka19 maart 2005 21:09
totdat er iemand komt die via de applet een html pagina'tje op je harddisk saved (je gaf toch toestemming?) en die in IExplorer opent ;)

edit: gezien de edit van Quacka mijn post redelijk overbodig maakt, maar een opmerking over zijn edit ;)
het is idd mogelijk om een html-bestand mee te sturen, alleen dat moet dan wel een bestand zijn inclusief alle spyware: dat lijkt me niet snel mogelijk.
Waarom zou een HTML file wel kunnen en extra software niet? Is prima mogelijk, met java en de juiste rechten (die je verkregen hebt doordat de gebruiker instemt) kan je zo files downloaden en op de harddisk opslaan, al dan niet tijdelijk, en ze vervolgens aan IExplorer aanbieden, geen probleem.
simon @Verwijderd20 maart 2005 16:09
Je kan wel denken dat je geen IE nodig hebt, maar als je ziet waar in Windows XP de IE engine overal voor gebruikt piep je wel anders :P
Verwijderd 19 maart 2005 19:44
Bij het bezoeken van bepaalde websites wordt een gebruiker gevraagd om een door "Integrated Search Technologies" ontwikkeld Java-applet te installeren.
Er wordt dus niet ongevraagd iets geïnstalleerd. Dat zou genoeg moeten zijn.
Verwijderd @Verwijderd19 maart 2005 20:07
Dat is duidelijk niet genoeg. Voor een deel moeten mensen ook tegen zich in bescherming worden genomen.
basb @Verwijderd19 maart 2005 20:48
Hmm,
Mischien een standaard instelling dat webbrowser standaard alles weigert waarvoor iets lokaal gedaan moet worden?

Maar hoe zit het dan met al die sites met spelletjes erop? Die doen het volgens mij dan ook niet meer en de gebruiker weet niet waarom.

Een browser beveiligingen tegen uitvoeren van schadelijke code waarvoor de gebruiker toestemming geeft, lijkt mij onmogelijk. Hiervoor heb je virusscanners nodig.
Erkens @basb19 maart 2005 21:07
Mischien een standaard instelling dat webbrowser standaard alles weigert waarvoor iets lokaal gedaan moet worden?
Zou wellicht een "oplossing" kunnen zijn, maar het leverd ook flink wat problemen op.
Van een online banking systeem wat niet meer werkt tot een webbased IRC client (zoals bijvoorbeeld http://irc.tweakers.net/).
Bijvoorbeeld die chat, een applet standaard alleen TCP verbindingen mag opzetten met de server waar de applet vandaan komt moet er toestemming gevraagd worden voor extra rechten. Als je dan zo'n vraag niet krijgt dan werkt het geheel niet meer, waardoor de bezoeker afhaakt.
Verwijderd @basb21 maart 2005 13:01
ja, en bij irc.tweakers.net is het certificaat dus verlopen
memphis @Verwijderd19 maart 2005 21:43
Ook een ervaren gebruiker is soms de weg kwijt in het bos dat plug-in heet. Gisteren was het ActiveX, vandaag is het Java morgen is het misschien wel Flash oid.
Steeds meer sites maken gebruik van nieuwe of alternatieve technieken waardoor de nodige zooi geïnstalleerd moet worden voordat je de site correct kunt zien. Misschien moet er 1 centrale server komen waar dit soort plug-ins gecontroleerd en veilig geplaatst kunnen worden voor distributie zoals bv. de MS codec server.

Uiteindelijk ben ik er voor om Spyware als virussen te zien en er strafmaten aan gehangen moet worden.
soczol @Verwijderd19 maart 2005 19:45
Bij ActiveX wel dan? :) Blijkbaar maken die waarschuwingen niet zo uit en klikt de 'gebruiker' er gewoon doorheen.
Verwijderd @soczol19 maart 2005 19:47
Veel spyware maakt bij ActiveX gewoon gebruik van de lekken hierin en de overige beveiligingsgaten in IE. De gebruiker wordt dan niks gevraagd.
eamelink @Verwijderd19 maart 2005 22:09
Maar die lekken zijn er ondertussen niet meer in een ge-update windows versie :)

Helaas is de stupiditeit van sommige internetgebruikers oneindig -> Op popups van spyware klikken ze snel, want dan zijn ze snel weg, op de vraag van windowsupdate of de update geinstalleerd moeten worden drukken ze snel op cancel "want dat duurt altijd zo lang"....

Tsja, wat doe je er dan nog aan he? :*)
kimborntobewild @Verwijderd21 maart 2005 13:04
Je kunt niet zomaar op automatische updates vertrouwen!
Voor je 't weet ligt je hele OS op z'n gat.
Ik heb hier een PC die je weer netjes opnieuw kunt installeren als je er SP2 op zet, want na 't rebooten doet Windows NIKS meer (nee, ook geen veilige modus o.i.d.). Mocht je je betaalde WMA/DRM-verzameling ook op de C-schijf hebben... Tja dan heb je pech gehad, kun je ze weer opnieuw aanschaffen.

En die lekken (zowel bekende als onbekende) zijn er trouwens nog steeds, ook al update je 300 keer per dag.
Verwijderd @soczol19 maart 2005 19:45
Ten eerste zeg ik dat niet, en ten tweede is het volgens mij wel zo dat ActiveX zonder te vragen dingen laat installeren.
Rakurai @Verwijderd20 maart 2005 14:33
Nee, ook ActiveX componenten moeten (bij default security settings) expliciet toestemming krijgen van de gebruiker voor installatie.
MAZZA @Verwijderd20 maart 2005 03:02
Leuk dat je het zegt. Gisteren is bekend geworden dat de Java Runtime Environment exploitable is. JNLP files kunnen privileges krijgen buiten de JRE sandbox. Dat is dus een cross-platform vulnerability (windows, linux, sun solaris etc) die kan leiden tot een cross-platform worm.

Proof of concept code is al verkrijgbaar...

Check voor meer info: http://www.k-otik.com/english/advisories/2005/0282

Het is dus tijd om je J2RE te upgraden naar versie 1.4.2_07 of hoger.
The Noid @MAZZA20 maart 2005 10:54
Gisteren? Dat is al maanden bekend hoor...
Ohwnee, dit is toch een nieuwe... gaat goed daar bij sun :D
Pastinakel @Verwijderd20 maart 2005 11:35
Er wordt dus niet ongevraagd iets geïnstalleerd. Dat zou genoeg moeten zijn.
Dat is een blijkbaar alom geaccepteerde misvatting waar we maar eens vanaf moeten (net als de misvatting dat je in reclame mag liegen).
Pas als er gevraagd is of er software geinstalleerd mag worden die het systeem vertraagt en ongewenst banners laat zien kun je stellen dat de gebruiker de kans heeft gehad om te kiezen.

Als ik jou vraag of je een aai over je bol wilt en ik dien je vervolgens een fikse muilpeer toe dan zal ook niemand beweren dat het niet ongevraagd was.
Sir_Eleet 19 maart 2005 20:22
"Firefox zal voorlopig nog de veiligste keuze blijven als het op veiligheid aankomt, maar het idee dat Firefox-gebruikers onkwetsbaar zijn voor aanvallen is een illusie"
Wat een bullshit en pro-firefox commentaar weer.
Alsof er geen andere browsers bestaan buiten MSIE en Mozilla Firefox.
s463042 @Sir_Eleet19 maart 2005 23:12
Ik sluit me hier honderd procent bij aan. Voelt aan als niet erg objectief journalistiek werk.
StainlessSteel @s46304219 maart 2005 23:42
Niet veel nee, maar alle text-based browsers zijn veilig, Opera is veilig, Mozilla is ook veilig, maar wel ouder dan Firefox, en alle IE-based browsers zijn net zo lek als IE.

Maar Firefox is toch wel erg goed bezig (tenminste—als Mozilla er mensen op blijft zetten).

Het is gewoon jammer dat MS geen updates meer geeft voor oude systemen, hierdoor raken deze steeds sneller en vaker besmet. Het is bijna noodzakelijk om altijd het laatste OS te gebruiken.
Verwijderd 19 maart 2005 19:59
Een website zou eigenlijk helemaal geen toegang mogen hebben tot de windows directory, zelfs als je overal op yes klikt. Waarom zorgt Microsoft er niet voor, dat alleen zij toegang hebben tot de windows map om updates te installeren, zodat je zeker weet dat er alleen microsoft bestanden in zitten?
Verwijderd @Verwijderd19 maart 2005 20:06
als de gebruiker admin is mag die dat he
Mathijs @Verwijderd20 maart 2005 07:28
Dat is zo, maar ga maar eens als gebruiker aan het werk op een standalone windows machine, dan is het niet leuk hoe vaak je kunt wisselen van gebruiker tussen admin en user.

Het lijkt mij wel een goed idee als MS dit eens aanpakt en zorgt dat de rechten van een gebruikersaccount goed gedefinieerd kunnen worden op een standalone machine.

Al met al had ik er zelf waarschijnlijk ook niet in getrapt als ik dit artikel niet had gelezen, want als er zowiezo 'search' in voorkomt gaan mijn nekharen automatisch al overeind staan.
Gepetto @Mathijs20 maart 2005 14:19
Dat is zo, maar ga maar eens als gebruiker aan het werk op een standalone windows machine, dan is het niet leuk hoe vaak je kunt wisselen van gebruiker tussen admin en user.
Daar is een simpele oplossing voor hoor:

zie hier
the_shadow @Mathijs20 maart 2005 15:14
Dit is één van de punten waar ze mee bezig zijn in Longhorn. Dan kan de gebruiker standaard kleine administratieve dingen, maar het volledige systeem onderuit halen kan dan niet meer. :)
Mathijs @Mathijs21 maart 2005 04:03
Ik snap wat je bedoelt gepetto, maar ik bedoelde eigenlijk dat het zonder domein per applicatie in te stellen moet kunnen zijn wat de user wel en niet mag. Iets simpels als een cd branden mag namelijk vaak al niet als user, begrijpelijk als het een bedrijf betreft maar thuis natuurlijk niet handig..
Quacka @Verwijderd19 maart 2005 20:10
Tja, ik denk niet dat het dan moeilijk is om te achterhalen op welke manier windows toestemming geeft aan windows update om iets aan te passen: Werkt dus niet.
dataworm @Verwijderd20 maart 2005 12:27
Zoals het mogelijk is om een programma admin rechten te geven als het niet werkt bij een gebruiker met beperkte rechten, zou het ook mogelijk moeten zijn om IE alleen beperkte rechten te geven ook (of juist) als je als admin bent ingelogd. (zoals het gros der windows-gebruikers)
Voor de mensen die niet zolang kunnen wachten en nauwelijks meer het internet op durven. Gebruik virtual PC / VMWare. Gewoon opstarten vanuit een saved session, uitvinken "commit changes to virtual hd" en je zit altijd save.
Verwijderd 19 maart 2005 20:39
Dat java applet schermpje zal ongeveer zo zijn...

WILT U SPYWARE OP UW COMPUTER INSTALLEREN.
JA - NEE

Althans in die trend... Postbank.nl gebruikt ook java applet. Dan krijg je ook zon oer lelijk grijs scherm voor je neus...

Programmeurs onder ons... Java applet zijn er in 2 smaken. Een is toegang tot je computer (zoals hier wordt bedoelt) en de ander is geen toegang tot je computer (zoals Flash achtige dingen)
Gert @Verwijderd19 maart 2005 22:48
De applet is het hetzelfde, er zijn verschillende security smaken. Net als ActiveX enzo.
RedLizard 19 maart 2005 22:49
Nee, niet echt, want eenmaal gedraaid kan de applet weer op allerlei plaatsen zichzelf installeren, niet alleen temporary internet files.
frickY 20 maart 2005 10:32
"een gebruiker enkele veiligheidswaarschuwingen negeert".. pfff sjah, zo kunnen we format.com ook wel gevaarlijk gaan noemen.
Als gebruikers zien dat ene "Integrated Search Technologies" iets op hun pc wiltplanten, terwijl ze daar niet om hebben gevraagd, moeten ze op 'nee' klikken. Mensen die dat niet snappen moeten ze geen computer geven |:(

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq