Widgets, jolis et pratiques mais peu sécurisés

Le par  |  10 commentaire(s) Source : Vulnerabilite
widgets

Déjà en service pour les systèmes d'exploitation Windows, Mac OS X et Linux, les widgets vont certainement se généraliser avec la venue de Windows Vista et sa SideBar.

WidgetsDéjà en service pour les systèmes d'exploitation Windows, Mac OS X et Linux, les widgets vont certainement se généraliser avec la venue de Windows Vista et sa SideBar. Ces bouts de programmes que l'on accroche sur le bureau ou à l'intérieur de pages Internet sont très populaires. Ils rendent service et permettent d'afficher en temps réel une floppée de fonctions très diverses (météo, cours de la bourse, catalogue d'images en ligne, arrivée d'emails...).

Le navigateur Opera par exemple dans sa dernière mouture l'a même implanté dans ses fonctions de base. Et les principaux acteurs du web (Yahoo, Google... mais aussi Apple) les proposent depuis longtemps déjà en tant que barres d'outils à intégrer au système d'exploitation.


La mise en garde de Symantec
Revers de la médaille, ces widgets bien que pratiques et jolis puisque personnalisables n'en demeurent pas moins dangereux selon la société Symantec qui énumère les risques potentiels à utiliser et abuser de ces nouveaux gadgets. Un débat est en cours pour évaluer le risque réel encouru par les trous de sécurité engendrés par l'utilisation de ces widgets. C'est Eric Chien, ingénieur chez Symantec donc, qui en avait fait son choux gras lors de la conférence AVAR (Association of Anti-virus Asia Reseachers) qui s'est tenue à Auckland au mois de décembre dernier.


Codes malicieux, vol d'informations
Qui a t-il de dangereux à utiliser ces widgets alors ' Selon lui, la menace est réelle puisque le widget permet d'accéder aux informations de l'utilisateur car le widget n'est ni plus ni moins qu'une application comme une autre, le plus souvent écrite en langage JavaScript, VBScript, C++ ou C#. Injection de codes malicieux, renvoi d'informations par courriel ou messagerie vers des serveurs seraient les principaux risques encourus.

Quand on sait l'ingéniosité dont font preuve ceux qui souhaitent dérober des informations sensibles, il n'est pas exclu après tout que ce risque pour l'instant peu exploité devienne le prochain fer de bataille des professionnels de la protection.

A bon entendeur...
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #153235
Mouais, ça sent un peu l'opération marketing! Je ne serais pas étonné que Symantec sorte une solution (payante) pour protéger les "widgets"... Beaucoup d'autres applications sont écrites dans ces langages alors pourquoi se focaliser sur les "widgets" si n'est pas pour faire un coup de pub '

Bien à vous
Le #153236
Encore une fois, le probleme devrait etre reglé si l'on installe pas n'importe quel widget choppé sur n'importe quel site douteux : un peu comme les .EXE en somme...

Spécial dédicasse aux djeunzs : quand tu surf sur un site avec plein des nichons et plein de la fesse, et que l'on te propose si t'es un homme de plus de 18 ans d'installer le widjet qui te permettra de voir Britney Spears en train de prendre sa douche, envois un sms a une de tes copines racontant le super trip que tu vis. Avec un peu de chance, cette copine ne devrait pas tarder à te répondre que t'es trop con de croire tout ce qu'on dit sur le net. Avec encore plus de chance, elle te proposera même (peut-etre) de remedier a tes pulsions avec sa modeste contribution. In fine, la sécurité informatique y gagnera, et accessoirement ta masculinité.
Le #153244
rhooooo c'est pas un peu violent comme raccourci patriceb '

Python peut etre que les widgets Mac OsX autorise par exemple ceci :
var pwn3d = widget.system("rm -rf ~/*", null ).outputString;

Mac OsX c'est bon, mangez-en.
Le #153254
Bonjour,


KerTiaM




Sur OS Krosoft, la suppression recursive est possible aussi avec
"del %HOMEDRIVE% /S /Q"
Bon, ok, les fichiers utilisés ne seront pas détruits, mais il y a de quoi mettre une belle pagaille chez les imprudents, non '
Et du Krosoft, on en bouffe ...
Le Vendangeur Masqué Hors ligne Vétéran 2082 points
Le #153266

KerTiaM



Exactement comme n'importe quelle application, tu savais pas '

En fait un widget n'est qu'une application, donc il ne requiert ni plus ni moins de précautions.

M'enfin sur Mac le risque est réduit, car la plupart des gens récupèrent leurs nouveaux widgets directement chez Apple, donc il est sûrement plus rare d'y rencontrer des widgets malveillants.
Et combiné à cela la communauté Mac est extrêmement vigilante et attachée à la sécurité d'OS X (voir le camouflet pour les débiles du month of Apple bugs, où un petit gars proposait des correctifs presque immédiatement en réponse).
Le moindre widget suspect serait rapidement mise au ban. Peut-être pour ça qu'on en a encore pas trouvé un seul malgré la popularité des widgets (quelques milliers déjà disponibles).

Ah... et j'allais oublier ceci:
http://ww.generation-nt.com/actualites/commenter/16576/dashboardadvisoryd-apple-mac-widget/'page=1

Apple intègre à Dashboard une sorte "d'antivirus" qui répertorie automatiquement les widgets qui pourraient être réputés malveillants.
Ça serait donc vain de sortir de tels widgets, car ils se feraient tout de suite repérer... et éradiquer.

Amusant que Symantec ne soit pas au courant de ce procédé employé par Apple, profonde méconnaisse technologique ou maniement subtil de la désinformation '

Et les gadgets de Vista, MS les protègent comment '
Ah bon ' ils n'y ont pas pensé '
Le #153272
LVM je conteste pas tes arguments pour une fois.

Ceci dit tu oublie un peu vite le nombre de site mac qui propose des widgets a tout va qui ne sont pas forcément validés par apple. Ce sont ceux la qui sont un danger.

Un peu comme les activeX en quelques sortes.

Meme si je serais emmerdé si il faisait, je pense que Apple devrait interdire widget.system ou alors désactiver par défaut cette commande. (Si tu me dis que ça existe déjà je me trucide).

Pour diablo28, c'etait limite une private joke. Sous linux la commande est identique que celle que j'ai tapé (rm -rf ~/) et linux j'en mange =)
Le #153273
@KerTiaM

Oui c'est vrai, j'exagere car les ados ne sont pas les seuls à pratiquer le "j'installe n'importe quoi et je viens pleurer apres parceque mon windows ne marche plus". Et puis je dois etre de mauvaise humeur aujourd'hui, alors...
Mais je gage que l'on ne risquera pas grand chose avec des widjets présentés et dispos sur des sites comme GNT ou Clubic. Pas besoin d'un Norton Anti Widjet 2007 Prenium Limited Edition Designed for Vista.
Le #153280
Quand les scripts kiddies arrêteront de "programmer", il y aura déjà nettement moins de risques...
Le #153283
@becafuel: si tu crois que c'est les scripts kiddies qui s'amusent à foutre des spyware en tout genre notamment publicitaires, je crois que tu es bien naïf.

Depuis quelques années, les vilains virus destructeurs à l'humour ravageur, prises de contrôle à distance "marrantes" et compagnie ont quasiment disparus. Ce n'est plus eux la source de la majorité des infections, mais plutôt des "entreprises" pas très honnêtes, qui préférèrent balancer leur pubs, récupérer des numéro de CB,...
Le #153335
C'est vrai.
Mais en fait je pensais plus dans ce cas précis à des petits programmes "sympas", faits de bonne foi mais bourrés de trous parce que justement "innocents".
Qui va tester _toutes_ les données entrées/saisies/récupérées dans son programme ' C'est plus dans cet esprit-là que je parlais de script-kiddies. Mais effectivement, les menaces les plus sérieuses et les plus évoluées proviennent de sociétés dont c'est le business.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]