Обнаружено 14 новых типов атак на веб-браузеры
Эксперты по IТ-безопасности выявили 14 новых типов атак на веб-браузеры, известных как межсайтовые утечки, или XS-Leaks. Используя XS-Leaks, вредоносный веб-сайт может получать личные данные посетителей, взаимодействуя с другими веб-сайтами в фоновом режиме. Исследователи из Ruhr-Universität Bochum (RUB) и Niederrhein University of Applied Sciences проверили, насколько хорошо 56 комбинаций браузеров и операционных систем защищены от 34 различных XS-Leaks.
С этой целью они разработали веб-сайт XSinator.com, который позволил им автоматически сканировать браузеры на предмет этих утечек. Например, популярные браузеры, такие как Chrome и Firefox, были уязвимы для большого количества утечек XS. "XS-Leaks - это часто ошибки браузера, которые должен исправить разработчик", - говорит Лукас Книттель, один из авторов статьи в Бохуме.
Исследователи опубликовали свои выводы в Интернете и на конференции ACM по компьютерной и коммуникационной безопасности, которая проводилась как виртуальное мероприятие в ноябре. На конференции Лукас Книттель, доктор Кристиан Майнка, Доминик Нос и профессор Йорг Швенк из Институт IТ-безопасности им. Хорста Герца при RUB, а также профессор Маркус Ниемиц из Университета прикладных наук Нидеррайн получили награду за лучшую работу. Исследование проводилось в рамках кластера передового опыта "CASA - кибербезопасность в эпоху крупных противников".
Как работают XS-Leaks
XS-Leaks обходят так называемую политику одинакового происхождения, одну из основных защит браузера от различных типов атак. Цель политики одинакового происхождения - предотвратить кражу информации с надежного веб-сайта. В случае XS-Leaks злоумышленники, тем не менее, могут распознать отдельные детали веб-сайта. Если эта информация связана с личными данными, то такие данные могут быть опознаны и скомпроментированы. Например, электронные письма в почтовом ящике веб-почты могут быть прочитаны с вредоносного сайта, потому что функция поиска будет реагировать по-разному в зависимости от того, были ли результаты по поисковому запросу или нет.
Для систематического анализа XS-Leaks группа сначала определила три характеристики таких атак. На их основе они разработали формальную модель, которая помогает понять XS-Leaks и помогает обнаруживать новые атаки. В результате исследователи выделили 14 новых категорий атак.