Ученые выявили 14 новых атак для похищения данных из браузера

Специалисты Рурского университета в Бохуме и Университета прикладных наук Нижнего Рейна (Германия) выявили 14 новых атак «межсайтовых утечек» (XS-Leaks) на современные браузеры, в том числе Google Chrome, Microsoft Edge, Safari и Mozilla Firefox.

XS-Leaks – атаки по сторонним каналам, позволяющие вредоносным сайтам обходить правило ограничения домена (same-origin policy) в браузере и в фоновом режиме похищать информацию из доверенного ресурса, на котором пользователь вводит данные. К примеру, с помощью подобной атаки сайт, открытый в неактивной вкладке браузера, может похищать содержимое электронного почтового ящика из сервиса электронной почты в активной вкладке.

Межсайтовые утечки не являются чем-то новым, однако, по словам исследователей, не все из них были выявлены и классифицированы как XS-Leaks, а корень проблемы до сих пор остается невыясненным.

Специалисты Рурского университета в Бохуме и Университета прикладных наук Нижнего Рейна решили провести исследование и установить новые методы XS-Leaks, разработать механизмы защиты и получить лучшее представление о том, как эти атаки работают.

Сначала исследователи определили три характеристики межсайтовых утечек и оценили все методы включения и техники утечки для большого количества браузеров. Три основных компонента всех XS-Leaks – методы включения, техники утечки и очевидные различия. Создав модель на основе этих характеристик, исследователи обнаружили 34 атаки XS-Leaks, 14 из которых ранее не были известны.

Специалисты протестировали все выявленные ими атаки на 56 комбинациях браузеров и операционных систем с целью определить, насколько уязвимыми они являются. Они разработали специальное web-приложение под названием XSinator , позволяющее любому желающему проверить, насколько их браузеры и ОС уязвимы к каждой из 34 атак X-Leaks.

Снижение или устранение рисков, связанных с этими атаками, – задача разработчиков браузеров, считают исследователи. В частности, они предлагают запретить все сообщения обработчика событий, свести к минимуму количество сообщений об ошибках, применить ограничения глобального лимита и создать новое свойство истории при перенаправлении. Другие эффективные методы смягчения последствий – использование X-Frame-Options для предотвращения загрузки HTML-ресурсов элементами iframe и реализация заголовка CORP для контроля того, могут ли страницы встраивать ресурс.

«COIU, также известная как First-Party Isolation (FPI), является опциональной функцией безопасности, которую пользователи могут активировать в настройках Firefox (about:config) и которая изначально была представлена в Tor Browser», – сообщили исследователи.

В зависимости от сайта атаки XS-Leaks могут иметь весьма серьезные последствия. Пользователям рекомендуется работать с полностью обновленными браузерами и отключить сторонние cookie-файлы. Это обезопасит их от большинства атак XS-Leaks, даже если на сайте не используются новые методы защиты наподобие COOP, CORP, SameSite Cookies и пр.

Исследователи рассказали о своих находках разработчикам браузеров, которые в настоящее время работают над исправлением проблем.