Enkelt å krasje pc-er med WebGL

Sikkerhetsselskap advarer mot ny webteknologi.

Harald BrombachHarald BrombachNyhetsleder
12. mai 2011 - 13:28

WebGL er en forholdsvis ny standard for å vise 3D-grafikk på weben. Foreløpig støttes teknologien av Chrome 9 og nyere, i tillegg til Firefox 4. Men også Apple og Opera Software har kunngjort støtte for teknologien.

Foreløpig er det ikke så mye WebGL-basert innhold å finne, men den nye webutgaven av spillet Angry Birds benytter WebGL, dersom man bruker Chrome eller Firefox 4.

Nå advarer det britiske sikkerhetsselskapet Context Information Security mot WebGL ut fra et sikkerhetsmessig perspektiv. Årsaken er at WebGL gir webapplikasjoner en mye mer direkte tilgang til pc-en maskinvare enn det som er tilfellet for andre webstandarder. Samtidig er det svært lite sikkerhetsfunksjonalitet integrert i dagens grafikkløsninger. Driverne er primært laget for å gi mest mulig ytelse, og sikkerhetsfunksjonalitet vil i mange måtte innføres på bekostning av ytelsen.

I et blogginnlegg skriver Context at dette vil gjøre det temmelig enkelt å lage ondsinnede, WebGL-baserte webapplikasjoner som krever så mye ressurser at pc-en til slutt henger eller krasjer. I motsetning til vanlige applikasjoner, kan webapplikasjoner gjøres direkte av websider som brukeren besøker, uten å måtte lokke brukeren til å starte en egen, kjørbar fil på pc-en.

Context derfor risikoen knyttet til WebGL er langt større enn at vanlig, systemspesifikk skadevare skal få maskinen til å knele.

Et konseptbevis for at dette faktisk stemmer, er faktisk blitt utgitt av Khronos Group selv, som står bak WebGL-standarden. Det skal låse skrivebordet til Mac OS X, krasje Windows XP-maskiner og føre til en GPU-reset under Windows 7.

Contex har dessuten laget et eget konseptbevis som demonstrerer hvordan det er mulig å stjele pikseldata på tvers av domener ved hjelp av blant annet WebGL.

Med utgangspunkt i dette mener Context at WebGL ikke er klar til generell bruk. Selskapet anbefaler selskaper og enkeltbrukere å vurdere om de bør skru av WebGL-støtten i sine nettlesere.

Selskapet foreslår også at det designes en spesifikasjon for 3D-grafikk mens man har sikkerhet i tankene allerede fra begynnelsen av.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.