XS-Leaks – 14 novos ataques da Web são detectados nos navegadores modernos
Todos os principais navegadores modernos da Web são vulneráveis a 14 novos tipos de ataques de vazamentos entre sites ‘XS-Leak’ que foram detectados recentemente pelos analistas de segurança de TI da Ruhr-Universität Bochum (RUB) e da Niederrhein University of Applied Sciences.
Entre todos os navegadores modernos, os principais jogadores também estão na lista como:-
- Google Chrome
- Microsoft Edge
- Safári
- Mozilla Firefox
- Ópera
- Navegador Tor
Os invasores podem roubar dados confidenciais de um site confiável onde o usuário insere informações através de um site malicioso explorando esses tipos de ataques de canais laterais que são coletivamente conhecidos como ataques de vazamento entre sites ‘XS-Leak’.
Embora os vazamentos entre sites não sejam novos, mas, ainda não todos foram identificados e analisados, por isso, por isso, a causa raiz desses ataques ainda não está clara.
Como funcionam os XS-Leaks?
A partir de um recurso HTTP de origem cruzada, os canais laterais incorporados da plataforma web permitem que os invasores coletem todos os dados necessários. Uma vez que o invasor tenha feito isso, os bugs entre sites começam automaticamente a atingir os navegadores populares da Web.
Eis o que os pesquisadores de segurança de TI afirmaram:
“O XS-Leaks ignora a chamada política de mesma origem, uma das principais defesas de um navegador contra vários tipos de ataques. O objetivo da política de mesma origem é evitar que as informações sejam roubadas de um site confiável. No caso do XS-Leaks, os atacantes podem, no entanto, reconhecer pequenos detalhes individuais e pequenos de um site. Se esses detalhes estiverem vinculados a dados pessoais, esses dados podem ser vazados.”
Encontrando os novos XS-Leaks
Inicialmente, para encontrar os novos XS-Leaks, os especialistas em segurança descobriram três características de vazamentos entre sites, e aqui eles são mencionados abaixo:-
- Métodos de inclusão
- Técnicas de vazamento
- Diferenças detectáveis
Após a descoberta dessas três características, todos os métodos de inclusão foram avaliados por eles e, em seguida, em um grande conjunto de navegadores web, eles implementaram as técnicas de vazamento.
Depois de avaliar a coisa toda eles desenvolveram um modelo no qual eles descobriram 34 XS-Leaks, e entre todos esses Vazamentos eles marcaram 14 vazamentos como críticos.
Além disso, para os usuários, eles desenvolveram um aplicativo web conhecido como “XSinator” através do qual qualquer pessoa pode executar um teste para verificar seus navegadores contra os 34 X-Leaks.
Mitigação
Os ataques de canais laterais são ameaçadores e os riscos que todos esses ataques surgem são assustadores, mas, o fato é que essas brechas precisam ser resolvidas apenas pelos desenvolvedores.
Eis o que os pesquisadores sugeriram para mitigar esses X-Leak:
- Negue todas as mensagens do manipulador de eventos.
- Minimizar ocorrências de mensagens de erro.
- Aplique restrições de limite global.
- Quando ocorre o redirecionamento, crie uma nova propriedade de história.
- Para bloquear os elementos de iframe do carregamento de recursos HTML, use opções X-Frame.
- Para controlar se as páginas podem incorporar um recurso implementar o cabeçalho CORP.
Por enquanto, os pesquisadores afirmaram que estão trabalhando juntos para saber que como essas falhas são comuns em sites do mundo real, e não apenas que eles também afirmaram que em breve eles também podem lançar uma ferramenta de digitalização de sites.
Autor: Balaji N