Хакеры подобрали ключ ко всем браузерам для кражи данных

Уязвимость межсайтовой утечки данных (XS-Leaks) затрагивает все современные браузеры и устранить ее практически невозможно, считают эксперты, выявившие проблему.

Chrome, Firefox, Edge, далее везде

Исследователи из Рурского университета в немецком Бохуме и Университета Нидеррайн в Германии выявили почти полтора десятка новых типов атак класса "межсайтовая утечка данных" (XS-Leaks), которые срабатывают против всех основных современных браузеров: Mozilla Firefox, Google Chrome, Microsoft Edge, Apple Safari, Opera и Tor Browser.

XS-Leaks - разновидность атак, позволяющая вредоносным сайтам обходить правило ограничения домена (same-originpolicy) в браузере. Тем самым открывается возможность для фонового похищения данных из доверенного ресурса, на котором пользователь вводит данные. Иными словами, сайт, открытый в неактивной вкладке, может перехватывать данные из активной вкладки, например, из электронной почты в активной вкладке.

Правило ограничения домена - один из основных инструментов обеспечения безопасности браузеров против различных атак. Его назначение - препятствовать краже данных из доверенных веб-сайтов. Но, как указывают исследователи, в случае с XS-Leaks злоумышленники "могут распознать индивидуальные особенности отдельного веб-сайта; если эти особенности связаны с персональными данными, возможна утечка этих данных".

Межсайтовые ошибки, возникающие из-за существования побочных каналов, встроенных в веб-платформу и позволяющих злоумышленнику собирать эти данные с межсайтового HTTP-ресурса, затрагивают множество популярных браузеров, таких как Tor, Chrome, Edge, Opera, Safari Firefox и Samsung Internet, в различных операционных системах: Windows, macOS, Android и iOS.

Неисправимая проблема

Этот новый класс уязвимостей отличается от подделки межсайтового запроса (CSRF). Вместо эксплуатации доверия веб-приложений к браузеру для произведения несанкционированных действий, XS-Leaks используются для вывода информации о пользователе, что, по мнению исследователей, угрожает его приватности.

Идея состоит в том, что хотя правило ограничения домена не позволяет веб-сайтам напрямую получать доступ к информации других сайтов (например, считывать ответы сервера), сайт под управлением злоумышленников может попытаться загрузить какой-либо сторонний ресурс или конечную точку API, например, с сайта банка в браузере пользователя и вычислить историю транзакций пользователя. Также источником утечки могут быть атаки на побочные каналы по времени (timing-based) или атаки спекулятивного исполнения, такие как Meltdown и Spectre.

Что касается способов борьбы с утечками, то здесь эксперты предлагают разработчикам браузеров запретить все сообщения обработчика событий, минимизировать количество сообщений об ошибках, применить ограничения глобального лимита и создавать новое свойство истории при перенаправлении.

На пользовательской стороне предлагается включать первичную изоляцию, усиленный режим предотвращения слежки (Enhanced Tracking Prevention) в Firefox или интеллектуальный режим предотвращения слежки в Safari, которые блокируют сторонние файлы cookiesи также помогают против XS-Leaks.

Исследователи однако отмечают, что ключевой причиной большинства таких уязвимостей является устройство самой глобальной сети. "Нередко случается, что приложения уязвимы к межсайтовым утечкам, хотя ничего лишнего они не делают. Устранить первичную причину XS-Leaks на уровне браузеров сложно, поскольку во многих случаях это сломает существующие веб-сайты", - говорится в исследовании.

"Судя по исследованию, речь идет о проблеме, которую невозможно полностью разрешить, даже переписав код всех современных браузеров, - полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Можно лишь применять какие-то дополнительные меры безопасности, которые позволят блокировать утечки в некоторых случаях. Но вряд ли удастся найти универсальное средство".

Android Apple Microsoft Samsung Германия Университеты