Poświęcona kwestiom zabezpieczeń konferencja Black Hat w Waszyngtonie właśnie dobiegła końca, pozostawiając po sobie kilka informacji na temat kolejnych luk w bezpieczeństwie. Tym razem problem dotyczy technologii Google Gears i w określonych okolicznościach pozwala na przeprowadzanie ataku XSS.

Podczas prezentacji Michael Sutton, zajmujący stanowisko badacza w specjalizującej się w bezpieczeństwie IT firmie Zscaler, przedstawił sposób na przechwycenie przechowywanych lokalnie danych pobranych z Sieci. Swoją demonstrację Sutton oparł na przykładzie zabezpieczeń Gears i Database Storage, będącej elementem HTML5. W tym celu wykorzystał działający w modelu client-side kod JavaScript do komunikacji z lokalną bazą danych.

Pod warunkiem występowania podatności na atak Cross-site scripting (XSS), metoda pozwala napastnikowi na naruszenie poufności i integralności przechowywanych lokalnie poprzez czytanie oraz zapisywanie nowych danych do lokalnej bazy danych. Zdaniem Suttona, samo Gears jest bezpieczne. Problem powstaje dopiero wówczas, gdy usługa zostanie zintegrowana z nieodpowiednio zabezpieczonymi witrynami WWW. Wykorzystując lukę XSS, udało mu się wstrzyknąć kod JavaScript oraz wykonać atak typu SQL Injection na serwis Paymo.

Szczegółowy opis błędu znajduje się na stronie firmy (format PDF).