I ricercatori hanno scoperto 14 nuove forme di minaccia di perdita di dati tra siti contro Tor Browser, Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge e Opera, tra i browser web più attuali.
I difetti del browser chiamati collettivamente “XS-Leaks”, consentono a un sito Web dannoso di raccogliere dati personali dai suoi utenti. Allo stesso tempo, interagiscono con altri siti Web in background senza la loro consapevolezza. I risultati provengono da un gruppo di scienziati della Ruhr-Universität Bochum (RUB) e della Niederrhein University, che ha condotto un’indagine dettagliata sugli attacchi cross-site.
Secondo i ricercatori, XS-Leaks aggira la cosiddetta Same Origin Policy, che è una delle principali difese di un browser contro varie forme di attacchi. XS-Leaks sono attacchi del canale laterale che consentono ai siti dannosi di aggirare la stessa policy di origine nel browser e rubare informazioni in background da una risorsa attendibile in cui l’utente inserisce i dati. Ad esempio, con l’aiuto di un tale attacco, un sito aperto in una scheda del browser inattiva può rubare il contenuto di una casella di posta elettronica dal servizio di posta elettronica nella scheda attiva.
Per ripercorrere la storia, se torniamo indietro al 2018, l’attacco silhouette di Twitter è stato un superbo esempio di questo genere di attacchi.
I bug tra siti sono causati da canali laterali integrati nella piattaforma web, che consentono a un utente malintenzionato di raccogliere informazioni da una risorsa HTTP di origine incrociata. Interessano una varietà di browser popolari, tra cui Tor, Chrome, Edge, Opera, Safari Firefox e Samsung Internet, e interessano Windows, macOS, iOS e Android.
Sebbene i siti Web non possano accedere direttamente ai dati (ad esempio, leggere le risposte del server) su altri siti Web a causa delle restrizioni sulla stessa origine, un famigerato portale online può provare a caricare una risorsa specifica o un endpoint API da un sito Web, come un sito Web di servizi bancari online, su browser dell’utente e trarre deduzioni sulla cronologia delle transazioni della vittima. Anche canali secondari basati sul tempo o attacchi di esecuzione speculativa come Spectre e Meltdown potrebbero essere sfruttati come fonte della perdita.
I ricercatori suggeriscono che, come mitigazione, tutti i messaggi del gestore di eventi vengano negati, le occorrenze dei messaggi di errore vengono ridotte al minimo, vengono applicate le limitazioni del limite globale e viene creata una nuova proprietà della cronologia quando si verifica il reindirizzamento.
Attivazione dell’isolamento first-party e potenziamento della prevenzione di monitoraggio in Firefox è stata considerata come soluzione per ridurre l’applicabilità di XS-Leaks sul lato utente finale. L’Intelligent Tracking Prevention di Safari, che per impostazione predefinita vieta i cookie di terze parti, elimina anche eventuali perdite non causate da un pop-up malevolo.
Cosa dice SOP?
Same Origin Policy è il cuore del modello di sicurezza del browser, una sintesi è questa:
- Due URL hanno la stessa origine se il protocollo, la porta (se specificata) e l’host sono gli stessi.
- Un sito web di qualsiasi origine può inviare liberamente richieste
GET,POST,HEAD, eOPTIONSa qualsiasi altra origine. Inoltre, la richiesta includerà i cookie degli utenti (tra cui l’ID di sessione) a tale origine. - Sebbene sia possibile inviare richieste, un sito Web da un’origine non può leggere direttamente le risposte da un’altra origine.
- Un sito Web può ancora consumare risorse da tali risposte HTTP, ad esempio eseguendo script, utilizzando caratteri/stili o visualizzando immagini. L’hack JSONP sfrutta questa quarta regola (non usare JSONP).
- Un sito Web può da un’origine avere accesso limitato a una finestra in un’altra origine, se ottiene un handle per la finestra. In particolare, le finestre di origini diverse possono modificare l’URL dell’altra (
anotherWindow.location.replace("https://www.evil.com").
