1. Главная
  2. Новости
  3. Хакеры для кражи данных подобрали ключ ко всем популярным браузерам

Хакеры для кражи данных подобрали ключ ко всем популярным браузерам

Хакеры для кражи данных подобрали ключ ко всем популярным браузерам
Исследователи из Рурского университета в немецком Бохуме и Университета Нидеррайн в Германии выявили почти полтора десятка новых типов атак класса «межсайтовая утечка данных» (XS-Leaks), которые срабатывают против всех основных современных браузеров: Mozilla Firefox, Google Chrome, Microsoft Edge, Apple Safari, Opera и Tor Browser.

XS-Leaks — разновидность атак, позволяющая вредоносным сайтам обходить правило ограничения домена (same-originpolicy) в браузере. Тем самым открывается возможность для фонового похищения данных из доверенного ресурса, на котором пользователь вводит данные. Иными словами, сайт, открытый в неактивной вкладке, может перехватывать данные из активной вкладки, например, из электронной почты в активной вкладке.

Правило ограничения домена — один из основных инструментов обеспечения безопасности браузеров против различных атак. Его назначение — препятствовать краже данных из доверенных веб-сайтов. Но, как указывают исследователи, в случае с XS-Leaks злоумышленники «могут распознать индивидуальные особенности отдельного веб-сайта; если эти особенности связаны с персональными данными, возможна утечка этих данных».

Межсайтовые ошибки, возникающие из-за существования побочных каналов, встроенных в веб-платформу и позволяющих злоумышленнику собирать эти данные с межсайтового HTTP-ресурса, затрагивают множество популярных браузеров, таких как Tor, Chrome, Edge, Opera, Safari Firefox и Samsung Internet, в различных операционных системах: Windows, macOS, Android и iOS.

 Этот новый класс уязвимостей отличается от подделки межсайтового запроса (CSRF). Вместо эксплуатации доверия веб-приложений к браузеру для произведения несанкционированных действий, XS-Leaks используются для вывода информации о пользователе, что, по мнению исследователей, угрожает его приватности.

Идея состоит в том, что хотя правило ограничения домена не позволяет веб-сайтам напрямую получать доступ к информации других сайтов (например, считывать ответы сервера), сайт под управлением злоумышленников может попытаться загрузить какой-либо сторонний ресурс или конечную точку API, например, с сайта банка в браузере пользователя и вычислить историю транзакций пользователя. Также источником утечки могут быть атаки на побочные каналы по времени (timing-based) или атаки спекулятивного исполнения, такие как Meltdown и Spectre.

Что касается способов борьбы с утечками, то здесь эксперты предлагают разработчикам браузеров запретить все сообщения обработчика событий, минимизировать количество сообщений об ошибках, применить ограничения глобального лимита и создавать новое свойство истории при перенаправлении.

На пользовательской стороне предлагается включать первичную изоляцию, усиленный режим предотвращения слежки (Enhanced Tracking Prevention) в Firefox или интеллектуальный режим предотвращения слежки в Safari, которые блокируют сторонние файлы cookiesи также помогают против XS-Leaks.

Исследователи однако отмечают, что ключевой причиной большинства таких уязвимостей является устройство самой глобальной сети. «Нередко случается, что приложения уязвимы к межсайтовым утечкам, хотя ничего лишнего они не делают. Устранить первичную причину XS-Leaks на уровне браузеров сложно, поскольку во многих случаях это сломает существующие веб-сайты», — говорится в исследовании.

«Судя по исследованию, речь идет о проблеме, которую невозможно полностью разрешить, даже переписав код всех современных браузеров, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Можно лишь применять какие-то дополнительные меры безопасности, которые позволят блокировать утечки в некоторых случаях. Но вряд ли удастся найти универсальное средство».
Теги:

РЕКОМЕНДУЕМ

похожие материалы

Стрелочка
Стрелочка
Разработчики мессенджера Max заявляют, что не отслеживают использование VPN
Разработчики мессенджера Max заявляют, что не отслеживают использование VPN

Исследователи обнаружили, что в Android-клиенте мессенджера Max есть встроенный модуль, который проверяет доступность серверов Telegram и WhatsApp*, определяя IP-адрес пользователя через сторонние сервисы и фиксируя использование VPN.

подробнее Стрелочка
Новая схема обмана: мошенники начали выдавать себя за таможню и вымогать деньги за «посылки»
Новая схема обмана: мошенники начали выдавать себя за таможню и вымогать деньги за «посылки»

В России зафиксирована новая схема интернет-мошенничества: лоумышленники начали массово писать гражданам в мессенджерах, представляясь сотрудниками таможенных органов и требуя оплатить якобы обязательные таможенные платежи за посылки.

подробнее Стрелочка
Хактивисты ударили по DHS: в сеть утекли контракты иммиграционной службы США и данные тысяч подрядчиков
Хактивисты ударили по DHS: в сеть утекли контракты иммиграционной службы США и данные тысяч подрядчиков

Хактивистская группа Department of Peace заявила о взломе систем Министерства внутренней безопасности США и публикации документов, связанных с контрактами ведомства и Иммиграционной и таможенной полиции США.

подробнее Стрелочка