Los investigadores han descubierto 14 nuevos tipos de ataques de fuga de datos entre varios sitios web contra varios navegadores web modernos, incluidos Tor Browser, Mozilla Firefox, Google Chrome, Microsoft Edge, Apple Safari y Opera.
Los errores del navegador, conocidos colectivamente como «XS-Leaks», permiten que un sitio malicioso obtenga información personal de los visitantes cuando interactúan con otros sitios en segundo plano sin conocer los objetivos. Los hallazgos son el resultado de un estudio integral de ataques entre sitios realizado por un grupo de académicos de la Ruhr-Universität Bochum (RUB) y la Universidad Niederrhein.
«XS-Leaks elude la llamada política del mismo origen, una de las principales defensas del navegador contra diferentes tipos de ataques», dijeron los investigadores en un comunicado. «El propósito de las políticas del mismo origen es evitar el robo de información de un sitio web confiable. Sin embargo, en el caso de XS-Leaks, los atacantes pueden identificar pequeños detalles individuales de un sitio web. Si estos datos están vinculados a datos personales , es posible que estos datos estén vinculados a datos personales. » estos datos pueden filtrarse «.
Los errores de los canales laterales integrados en la plataforma web que permiten a un atacante recopilar estos datos de una fuente HTTP de una variedad de fuentes afectan a varios navegadores populares, como Tor, Chrome, Edge, Opera, Safari Firefox, Samsung Internet, incluido varios sistemas operativos Windows, macOS, Android e iOS.
La nueva clase de vulnerabilidad también se diferencia de la falsificación de solicitudes entre sitios (CSRF) en que, a diferencia de este último, que utiliza la confianza de la aplicación web en el cliente del navegador para realizar acciones no deseadas en nombre del usuario, puede utilizarse como arma. derivar información del usuario.
«Son una amenaza significativa para la privacidad en línea porque simplemente visitar un sitio web puede revelar si la víctima es un adicto a las drogas o una orientación sexual», explicaron los investigadores. «XS-Leaks utiliza pequeños fragmentos de información que se exponen durante las interacciones entre sitios […] revelar información confidencial sobre los usuarios, como sus datos en otras aplicaciones web, detalles sobre su entorno local o las redes internas a las que están conectados «.
La idea básica es que, si bien los sitios no permiten el acceso directo a los datos (es decir, leer las respuestas del servidor) en otros sitios debido a restricciones del mismo origen, un portal en línea fraudulento puede intentar recuperar una fuente específica o un punto final API de un sitio, digamos un sitio web de banca en línea en el navegador del usuario y sacar conclusiones sobre el historial de transacciones de la víctima. Alternativamente, la fuente de la filtración podría ser canales laterales basados en el tiempo o ataques de ejecución especulativa como Meltdown y Spectre.
Como mitigación, los investigadores recomiendan rechazar todos los mensajes del controlador de eventos, minimizar los mensajes de error, aplicar límites globales y crear una nueva propiedad de historial cuando se produce una redirección. En el lado del usuario final, se ha descubierto que activar el aislamiento de primera persona y la prevención de rastreo mejorada en Firefox reduce la usabilidad de XS-Leaks. La Prevención de seguimiento inteligente de Safari, que bloquea las cookies de terceros de forma predeterminada, también evita cualquier fuga que no sea emergente.
«La causa principal de la mayoría de las filtraciones XS es el diseño del sitio en sí», dijeron los investigadores. «Las aplicaciones suelen ser vulnerables a algunas fugas de información entre sitios sin hacer nada incorrecto. Es difícil solucionar la causa raíz de las fugas XS a nivel del navegador, porque en muchos casos interrumpirían los sitios web existentes».
