Dit moet je weten over 'cookiejacking' in IE

Een beveiligingsonderzoeker heeft onlangs ontdekt dat het mogelijk is om cookies van Internet Explorer te kapen om zo gevoelige informatie te ontfutselen van goedgelovige gebruikers. Deze zogenaamde ‘cookiejacking’ techniek kan gebruikt worden om bijvoorbeeld accounts van Facebook, Twitter of Gmail te kraken. Microsoft beschouwt het fenomeen nog niet als serieuze bedreiging. Is de beveiligingsonderzoeker terecht een roepende in de woestijn of is er wel degelijk sprake van een echt risico?

Onderzoeker Rosario Valotta heeft de manier waarop cookiejacking mogelijk is gedemonstreerd en publiceerde details hierover op zijn blog. Het risico geldt voor alle versies van Internet Explorer op het besturingssysteem Windows, dus de groep betrokken gebruikers is erg groot.

Wat is een cookie?

Een cookie is een klein tekstbestand dat gebruikt wordt door een webbrowser of –applicatie om informatie op te slaan als sitevoorkeuren of inloginformatie.

Wat is cookiejacking?

De techniek misbruikt een lek in de zogenaamde Security Zone bescherming van Internet Explorer. Een hacker kan de inhoud van cookies inzien waarvan het niet de bedoeling is dat deze getoond wordt.

Wat is het risico?

De meeste tekstbestanden bieden een weinig interessante inhoud. Maar als je ingelogd bent bij een site als Facebook, Gmail of Twitter, dan worden deze cookies gebruikt om je logininformatie te bewaren zodat je niet de hele tijd je gebruikersnaam en wachtwoord hoeft op te geven. Als een hacker deze cookies kan kapen, kunnen kwaadwillenden zich als jou voordoen en toegang verkrijgen tot gevoelige data binnen de site of webservice.

Is dit een serieuze bedreiging?

De aanval is lastig op te zetten. Cookiejacking maakt deel uit van een groter geheel, waarbij de aanvaller van meerdere aanvalstechnieken gebruik zal moeten maken. Sowieso moet de gebruiker misleid worden voordat hij ten prooi valt aan de hack.

Woordvoerder Jerry Bryant van Microsoft nuanceerde de dreiging vanwege de complexiteit van de hack en de mate waarin de gebruiker mee zal moeten werken met de aanvaller. “Als je slachtoffer wordt, zul je eerst een frauduleuze website moeten bezoeken, overtuigd moeten worden om op een misleidende link te klikken en de aanvaller moet maar net interesse hebben in de sites waarbij de gebruiker ingelogd is.”

Hoewel dat allemaal waar is, klikken veel gebruikers vaak op checkboxen met daarin teksten als “blijf ingelogd”, zodat ze niet elke keer bij een bezoek aan een site hun gegevens hoeven opgeven. Daarnaast zou je met een aantrekkelijke webgame ervoor kunnen zorgen dat gebruikers snel op linkjes klikken, meent Valotta.

Wat moet ik doen?

Geen paniek op dit moment, je kunt rustig blijven ademen. Het vereist nogal wat interactie van een gebruiker om zijn gebruikersgegevens met een hacker te delen en geïnformeerde lezers zullen nu niet meer zo snel in de val trappen.

Toch heeft Valotta een punt. De techniek kan in de praktijk toegepast worden en aangezien je op Facebook honderden domme webgames staan, is het niet vreemd om te veronderstellen dat hier ook een aantal frauduleuze varianten tussenzitten die een significant aantal gebruikers kunnen verleiden tot de benodigde interactie.

Microsoft beschouwt het cookiejacking-fenomeen niet als een groot probleem en komt nog niet met een snelle update voor Internet Explorer. Toch verwacht ik dat die patch er binnen niet al te lange tijd zal in. Blijf in de tussentijd gewoon je gezonde verstand gebruiken en klik niet zomaar op links als iets of iemand daarom vraagt.