

WebAssembly: Auch eine "sichere" Sprache kann missbraucht werden
7. Januar 2020, 12:21Laut einer Studie ist ein grosser Teil der auf Websites verwendeten Webassembly-Module bösartig.
WebAssembly, 2015 erstmals vorgeschlagen und danach wesentlich von der Mozilla Foundation weiterentwickelt, soll eine neue, sichere Programmiersprache für das Web sein. Zudem soll sie es Websites insbesondere erlauben, auch komplexe Applikationen, die viel Performance erfordern, in Browsern darzustellen. Kurz vor dem Jahreswechsel wurde WebAssembly vom W3C-Kosortium als offizieller neuer Webstandard anerkannt. Auch alle wichtigen Browser unterstützen bereits WebAssembly.
WebAssembly könnte damit das Potential haben, ähnlich wie einst Flash eingesetzt zu werden, etwa für Games und andere grafikintensive Browser-Apps. Aber auch KI-Anwendungen sind denkbar. Flash ist weitgehend aus dem Web verschwunden, weil es viele Sicherheitslücken aufwies und sehr oft für bösartige Zwecke verwendet wurde.
Aber auch mit der sicheren Sprache WebAssembly können bösartige Apps gebaut werden, wie eine Studie von vier Forschern der TU Braunschweig (PDF) zeigt.
Sie haben letztes Jahr knapp eine Million der laut der Alexa-Rangliste weltweit am häufigsten besuchten Websites automatisiert nach WebAssembly-Modulen abgeklopft. Auf etwas über 1600 dieser Sites fanden sie insgesamt knapp 2000 dieser Module.
Die Forscher untersuchten auch manuell, was diese Module tun. Die Mehrheit war legitim. Aber mehr als ein Drittel hatte einen bösartigen Zweck. Mehrheitlich missbrauchten diese Module die Browser von Site-Besuchern, um Kryptomining zu betreiben. Ein etwas kleinerer Teil war darauf ausgelegt, ihre eigentliche Funktion zu verschleiern. Laut den Forschern waren sie oft Teil von Malvertising-Kampagnen.
Die vier Security-Experten glauben, dass dies erst der Anfang des Missbrauchs von WebAssembly sein könnte: "Wir sehen aktuell nur die Spitze des Eisbergs einer neuen Generation von versteckter Malware im Web." Security-Firmen, so sie Empfehlung, sollten daher gezielt investieren, damit ihre Produkte auch mit diesem neuen Spektrum von Bedrohungen umgehen können.
Loading
Google stellt seine KI-Pläne vor
Im Rahmen einer Keynote in Paris hat der Konzern gezeigt, welche Produkte er mit KI-Technologien ausstatten will.
Der Security-Branche geht es gut
Während die Umsätze bei den grossen Tech-Konzernen einbrechen, haben die Security-Anbieter Tenable und Fortinet kräftig zugelegt.
Nach Angriffswelle: Skript der CISA soll ESXi-Opfern helfen
Die US-Security-Behörde hat ein Skript veröffentlicht, um ESXi-Server wiederherzustellen.
Alphv hackt Schweizer Finanzdienstleister Finaport
Die Cyberkriminellen konnten nach eigenen Angaben eine grössere Menge an Daten des Vermögensverwalters erbeuten. Die gestohlenen Informationen sind im Darkweb einsehbar.