14 neue XS-Leaks (Cross-Site-Leaks) Angriffe zurechenbar sein jeder modernen Webbrowser

Forscher nach sich ziehen 14 neue Arten von Cross-Site-Data-Leakage-Angriffen gegen eine Schlange moderner Webbrowser entdeckt, darunter unter anderem Treffer Browser, Mozilla Firefox, Google Chrome, Microsoft Edge, Apple Safari und Opera.

Zusammenfassend qua “XS-Leaks” namhaft, zuteilen die Browser-Bugs einer bösartigen Website, personenbezogene Statistik von ihren Besuchern zu zusammenschließen, während solche im Hintergrund ohne Wissen des Ziels mit anderen Websites interagieren. Die Ergebnisse sind dasjenige Ergebnis einer umfassenden Studie zu standortübergreifenden Angriffen, die eine Posten von Wissenschaftlern jener Ruhr-Universität Bochum (RUB) und jener Hochschule Niederrhein durchgeführt hat.

“XS-Leaks umgehen die sogenannte Same-Origin-Policy, eine jener wichtigsten Abwehrmechanismen eines Browsers gegen verschiedene Arten von Angriffen”, heißt es in einer Hinweistext jener Forscher. „Mit jener Same-Origin-Policy soll verhindert werden, dass Informationen von einer vertrauenswürdigen Website gestohlen werden. Im Fallgrube von XS-Leaks können Angreifer dessen ungeachtet einzelne, kleine Einzelheiten einer Website wiedererkennen. Wenn solche Einzelheiten mit personenbezogenen Statistik verbunden sind, solche Statistik können durchgesickert sein.”

Die Cross-Site-Bugs stammen von Seitenkanälen, die in die Webplattform integriert sind und es einem Angreifer zuteilen, solche Statistik von einer ursprungsübergreifenden Hypertext Transfer Protocol-Ressource zu zusammenschließen, und wirken sich hinaus eine Schlange beliebter Browser wie Treffer, Chrome, Edge, Opera, Safari Firefox, Samsung World Wide Web, dasjenige sich zusätzlich verschiedene Betriebssysteme erstreckt, Windows, macOS, menschenähnlicher Roboter und iOS.

Die neue Stil von Schwachstellen unterscheidet sich gleichermaßen von einem Cross-Site-Request-Forgery (CSRF)-Offensive darin, dass sie im Streitfrage zu letzterem, jener dasjenige Vertrauen einer Webapplikation in zusammensetzen Browser-Client ausnutzt, um unbeabsichtigte Aktionen im Namen des Benutzers auszuführen, qua Waffe eingesetzt werden können Informationen zusätzlich zusammensetzen Benutzer schließen.

“Sie stellen eine erhebliche Gefahr zum Besten von die Privatsphäre im World Wide Web dar, da jener bloße Visite einer Webseite wiedererkennen lässt, ob dasjenige Todesopfer drogensüchtig ist oder eine sexuelle Orientierung preisgibt”, erklärten die Forscher. „XS-Leaks nutzen kleine Informationen, die im Rahmen Interaktionen zwischen Websites offengelegt werden […] sensible Informationen zusätzlich Benutzer preiszugeben, wie etwa ihre Statistik in anderen Webanwendungen, Einzelheiten zu ihrer lokalen Umgebung oder internen Netzwerken, mit denen sie verbunden sind.”

Die Kernidee besteht darin, dass, während Websites aufgrund von Beschränkungen des gleichen Ursprungs nicht freimütig hinaus Statistik (dh dasjenige Vorlesung halten von Serverantworten) hinaus anderen Websites zupacken die Erlaubnis haben, ein betrügerisches Online-Tunneleingang versuchen kann, eine bestimmte Ressource oder zusammensetzen API-Endpunkt von einer Website zu laden. B. einer Online-Banking-Website, im Browser des Benutzers und ziehen Rückschlüsse hinaus den Transaktionsverlauf des Opfers. Anderweitig könnten die Quelle des Lecks zeitbasierte Seitenkanäle oder spekulative Ausführungsangriffe wie Meltdown und Spectre sein.

Denn Rechtsmittel empfehlen die Forscher, jeder Ereignishandlernachrichten abzulehnen, dasjenige In Erscheinung treten von Fehlermeldungen zu minimieren, globale Grenzwertbeschränkungen anzuwenden und eine neue Verlaufseigenschaft zu erstellen, wenn eine Umleitung erfolgt. Aufwärts jener Endbenutzerseite hat sich gezeigt, dass dasjenige Aufputschen jener Erstanbieter-Isolierung sowie jener verbesserten Tracking-Verhinderung in Firefox die Praktikabilität von XS-Leaks verringert. Die Intelligent Tracking Prevention in Safari, die standardmäßig Cookies von Drittanbietern verkrampft, verhindert gleichermaßen jeder Lecks, die nicht hinaus einem Popup basieren.

“Die Ursache jener meisten XS-Leaks liegt im Entwurf des Webs”, sagten die Forscher. „Oft sind Anwendungen ruhelos zum Besten von manche Site-übergreifende Informationslecks, ohne dass irgendetwas falsch gemacht wurde.