Securitymedia.org
Хакеры для кражи данных подобрали ключ ко всем популярным браузерам
Хакеры для кражи данных подобрали ключ ко всем популярным браузерам
10.12.2021
Исследователи из Рурского университета в немецком Бохуме и Университета Нидеррайн в Германии выявили почти полтора десятка новых типов атак класса «межсайтовая утечка данных» (XS-Leaks), которые срабатывают против всех основных современных браузеров: Mozilla Firefox, Google Chrome, Microsoft Edge, Apple Safari, Opera и Tor Browser.
XS-Leaks — разновидность атак, позволяющая вредоносным сайтам обходить правило ограничения домена (same-originpolicy) в браузере. Тем самым открывается возможность для фонового похищения данных из доверенного ресурса, на котором пользователь вводит данные. Иными словами, сайт, открытый в неактивной вкладке, может перехватывать данные из активной вкладки, например, из электронной почты в активной вкладке.
Правило ограничения домена — один из основных инструментов обеспечения безопасности браузеров против различных атак. Его назначение — препятствовать краже данных из доверенных веб-сайтов. Но, как указывают исследователи, в случае с XS-Leaks злоумышленники «могут распознать индивидуальные особенности отдельного веб-сайта; если эти особенности связаны с персональными данными, возможна утечка этих данных».
Межсайтовые ошибки, возникающие из-за существования побочных каналов, встроенных в веб-платформу и позволяющих злоумышленнику собирать эти данные с межсайтового HTTP-ресурса, затрагивают множество популярных браузеров, таких как Tor, Chrome, Edge, Opera, Safari Firefox и Samsung Internet, в различных операционных системах: Windows, macOS, Android и iOS.
Этот новый класс уязвимостей отличается от подделки межсайтового запроса (CSRF). Вместо эксплуатации доверия веб-приложений к браузеру для произведения несанкционированных действий, XS-Leaks используются для вывода информации о пользователе, что, по мнению исследователей, угрожает его приватности.
Идея состоит в том, что хотя правило ограничения домена не позволяет веб-сайтам напрямую получать доступ к информации других сайтов (например, считывать ответы сервера), сайт под управлением злоумышленников может попытаться загрузить какой-либо сторонний ресурс или конечную точку API, например, с сайта банка в браузере пользователя и вычислить историю транзакций пользователя. Также источником утечки могут быть атаки на побочные каналы по времени (timing-based) или атаки спекулятивного исполнения, такие как Meltdown и Spectre.
Что касается способов борьбы с утечками, то здесь эксперты предлагают разработчикам браузеров запретить все сообщения обработчика событий, минимизировать количество сообщений об ошибках, применить ограничения глобального лимита и создавать новое свойство истории при перенаправлении.
На пользовательской стороне предлагается включать первичную изоляцию, усиленный режим предотвращения слежки (Enhanced Tracking Prevention) в Firefox или интеллектуальный режим предотвращения слежки в Safari, которые блокируют сторонние файлы cookiesи также помогают против XS-Leaks.
Исследователи однако отмечают, что ключевой причиной большинства таких уязвимостей является устройство самой глобальной сети. «Нередко случается, что приложения уязвимы к межсайтовым утечкам, хотя ничего лишнего они не делают. Устранить первичную причину XS-Leaks на уровне браузеров сложно, поскольку во многих случаях это сломает существующие веб-сайты», — говорится в исследовании.
«Судя по исследованию, речь идет о проблеме, которую невозможно полностью разрешить, даже переписав код всех современных браузеров, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Можно лишь применять какие-то дополнительные меры безопасности, которые позволят блокировать утечки в некоторых случаях. Но вряд ли удастся найти универсальное средство».
XS-Leaks — разновидность атак, позволяющая вредоносным сайтам обходить правило ограничения домена (same-originpolicy) в браузере. Тем самым открывается возможность для фонового похищения данных из доверенного ресурса, на котором пользователь вводит данные. Иными словами, сайт, открытый в неактивной вкладке, может перехватывать данные из активной вкладки, например, из электронной почты в активной вкладке.
Правило ограничения домена — один из основных инструментов обеспечения безопасности браузеров против различных атак. Его назначение — препятствовать краже данных из доверенных веб-сайтов. Но, как указывают исследователи, в случае с XS-Leaks злоумышленники «могут распознать индивидуальные особенности отдельного веб-сайта; если эти особенности связаны с персональными данными, возможна утечка этих данных».
Межсайтовые ошибки, возникающие из-за существования побочных каналов, встроенных в веб-платформу и позволяющих злоумышленнику собирать эти данные с межсайтового HTTP-ресурса, затрагивают множество популярных браузеров, таких как Tor, Chrome, Edge, Opera, Safari Firefox и Samsung Internet, в различных операционных системах: Windows, macOS, Android и iOS.
Этот новый класс уязвимостей отличается от подделки межсайтового запроса (CSRF). Вместо эксплуатации доверия веб-приложений к браузеру для произведения несанкционированных действий, XS-Leaks используются для вывода информации о пользователе, что, по мнению исследователей, угрожает его приватности.
Идея состоит в том, что хотя правило ограничения домена не позволяет веб-сайтам напрямую получать доступ к информации других сайтов (например, считывать ответы сервера), сайт под управлением злоумышленников может попытаться загрузить какой-либо сторонний ресурс или конечную точку API, например, с сайта банка в браузере пользователя и вычислить историю транзакций пользователя. Также источником утечки могут быть атаки на побочные каналы по времени (timing-based) или атаки спекулятивного исполнения, такие как Meltdown и Spectre.
Что касается способов борьбы с утечками, то здесь эксперты предлагают разработчикам браузеров запретить все сообщения обработчика событий, минимизировать количество сообщений об ошибках, применить ограничения глобального лимита и создавать новое свойство истории при перенаправлении.
На пользовательской стороне предлагается включать первичную изоляцию, усиленный режим предотвращения слежки (Enhanced Tracking Prevention) в Firefox или интеллектуальный режим предотвращения слежки в Safari, которые блокируют сторонние файлы cookiesи также помогают против XS-Leaks.
Исследователи однако отмечают, что ключевой причиной большинства таких уязвимостей является устройство самой глобальной сети. «Нередко случается, что приложения уязвимы к межсайтовым утечкам, хотя ничего лишнего они не делают. Устранить первичную причину XS-Leaks на уровне браузеров сложно, поскольку во многих случаях это сломает существующие веб-сайты», — говорится в исследовании.
«Судя по исследованию, речь идет о проблеме, которую невозможно полностью разрешить, даже переписав код всех современных браузеров, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Можно лишь применять какие-то дополнительные меры безопасности, которые позволят блокировать утечки в некоторых случаях. Но вряд ли удастся найти универсальное средство».
Популярные материалы
Хотите быть в курсе последних новостей?
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
