Przedstawiony został nowy sposób ataku zwany "tabnapping", który pozwala na cichą zmianę otartych kar przeglądarki. Wszystkie popularne przeglądarki w systemach Windows oraz Mac OS są podatne na ten atak.

Aza Raskin przedstawił scenariusz, który opiera się na fakcie, że większość ludzi trzyma wiele otwartych kart przez długi okres czasu. Sposób Raskina wymaga, aby użytkownik odwiedził specjalnie spreparowaną stronę. Wystarczy użyć JavaScript, aby zmienić treść i etykietę karty np. na stronę logowania się do banku lub wystawcy karty kredytowej. Nie ma potrzeby fałszowania adresu URL, banki bazują na zaufaniu, że karty przeglądarki nie zmieniają się nagle.

Aza Raskin określił kilka sposobów jakimi hakerzy mogą wykorzystywać "tabnapping". Jednym z nich jest podszywanie się pod strony, które użytkownik odwiedził. "Może się wydawać użytkowniki, że sesja wygasła i musi się ponownie uwierzytelnić". Zdarza się to często na stronach banku, co czyni je bardziej podatne na tego typu atak.

Na swoim blogu Aza Raskin stwierdził, że Chrome, Firefox, Opera i Safari w systemie Mac OS X 10.6 pokazały spreparowaną stronę Gmiala. W systemie Windows XP zrobił, to samo dla: Chrome, Firefox, Internet Explorer i Opera.

Źródło: computerworld