- Door
- Arnout Veenman
- geplaatst op
- 22 april 2008 08:04 uur
Tientallen Amerikaanse ISP’s waaronder Comcast, Earthlink en Verizon sturen internet abonnees die een niet bestaande domeinnaam bezoeken door naar een pagina vol reclame. Echter nu blijkt dat ISP’s het zelfde doen met subdomeinen. ISP’s brengen hun klanten daarmee in gevaar volgens security onderzoeker Dan Kaminsky, zo meldt The Register.
Het probleem is ondermeer dat subdomeinen toegang hebben tot cookies van de domeinnaam er boven, die bijvoorbeeld logingegevens voor de desbetreffende website bevat. Kaminsky ontdekte dat de advertentie pagina’s die door het advertentiebedrijf BareFruit aan abonnees worden getoond vatbaar was voor een cross site scription (XSS) aanval.
Hierdoor was het voor kwaadwillenden mogelijk om van de abonnees van de ISP’s die gebruik maken van de diensten van BareFruit al hun cookies uit te lezen of naar websites te sturen die volledig legitiem lijken door hun domeinnaam, maar eigenlijk een phishingsite zijn.
Het lek is ondertussen door BareFruit gedicht, maar volgens Kaminsky is het niet onwaarschijnlijk dat er meer van zulke lekken zitten in systemen van andere advertentiebedrijven. Dit lek toont het gevaar van oneigenlijk DNS gebruik perfect aan.