Меню
Поиск

Обнаружены 14 новых способов обхода защиты популярных веб-браузеров

3 декабрь, 2021 - 17:36

Обнаружены 14 новых способов обхода защиты популярных веб-браузеров

Эксперты по ИТ-безопасности из Рурского университета Бохума (RUB) и Университета прикладных наук Нидерландов выявили 14 новых разновидностей атак на веб-браузеры, известных как межсайтовые утечки или XS-Leaks. Используя XS-Leaks, вредоносный веб-сайт может получать личные данные посетителей, взаимодействуя с другими веб-сайтами в фоновом режиме.  

Исследователи проверили, насколько хорошо 56 комбинаций браузеров и операционных систем защищены от 34 различных XS-Leaks. Для этого они разработали веб-сайт XSinator.com, который позволяет автоматически тестировать браузеры на наличие таких проблем. Их эксперимент, в частности, продемонстрировал уязвимость к значительному количеству XS-утечек популярных браузеров, таких как Chrome и Firefox.

«XS-Leaks – это часто недоработки браузера, которые должны исправляться его  производителем», – говорит Лукас Книттель (Lukas Knittel) из RUB, один из авторов статьи по итогам этого исследования. Статья была опубликована онлайн и представлена на виртуальной конференции ACM по безопасности компьютеров и коммуникаций в середине ноября.

XS-утечки применяются для обхода так называемой политики одинакового происхождения (same-origin), одной из основных линий защиты браузеров от различных типов атак. Задача политики одинакового происхождения – предотвратить кражу информации с надёжного веб-сайта.  В случае XS-Leaks злоумышленники, тем не менее, могут распознать отдельные детали веб-сайта и организовать кражу связанных с этими деталями персональных данных. Например, с вредоносного сайта можно будет прочесть электронные письма в почтовом ящике потому что функция поиска будет реагировать по-разному в зависимости от того, были ли результаты для поискового запроса или нет.

Для того, чтобы систематизировать анализ XS-Leaks, группа сначала выделила три отличительные характеристики таких атак. На их основе была разработана формальная модель, которая помогает понять XS-утечки и обнаруживать новые атаки. В результате применения этой модели исследователи смогли обнаружить 14 новых категорий таких атак.