Quatorze nouveaux types d’attaques sur les navigateurs Web détectés

14 nouvelles attaques sur les navigateurs Web détectées

À l’aide de l’outil XSinator.com, les chercheurs ont analysé de nombreuses combinaisons de navigateurs et de systèmes d’exploitation pour leur vulnérabilité aux XS-Leaks. Crédit : RUB, Marquard

Les experts en sécurité informatique ont identifié 14 nouveaux types d’attaques contre les navigateurs Web, appelées fuites intersites, ou XS-Leaks. À l’aide de XS-Leaks, un site Web malveillant peut récupérer les données personnelles des visiteurs en interagissant avec d’autres sites Web en arrière-plan. Les chercheurs de la Ruhr-Universität Bochum (RUB) et de l’Université des sciences appliquées de Niederrhein ont testé à quel point 56 combinaisons de navigateurs et de systèmes d’exploitation sont protégées contre 34 XS-Leaks différentes.

À cette fin, ils ont développé le site Web XSinator.com, qui leur a permis de scanner automatiquement les navigateurs pour ces fuites. Les navigateurs populaires tels que Chrome et Firefox, par exemple, étaient vulnérables à un grand nombre de XS-Leaks. « Les XS-Leaks sont souvent des bogues de navigateur qui doivent être corrigés par le fabricant », explique Lukas Knittel, l’un des auteurs de l’article à Bochum.

Les chercheurs ont publié leurs résultats en ligne et lors de la conférence ACM sur la sécurité informatique et des communications, qui s’est tenue sous forme d’événement virtuel à la mi-novembre 2021. Lors de la conférence, Lukas Knittel, le Dr Christian Mainka, Dominik Noß et le professeur Jörg Schwenk du L’Institut Horst Görtz pour la sécurité informatique de la RUB ainsi que le professeur Marcus Niemietz de l’Université des sciences appliquées de Niederrhein ont reçu un prix du meilleur article pour leur étude. L’étude s’est déroulée au sein du pôle d’excellence « CASA—Cyber ​​Security in the Age of Large-Scale Adversaries ».

Comment fonctionne XS-Leaks

XS-Leaks contourne la politique dite de même origine, l’une des principales défenses d’un navigateur contre divers types d’attaques. Le but de la politique de même origine est d’empêcher le vol d’informations sur un site Web de confiance. Dans le cas de XS-Leaks, les attaquants peuvent néanmoins reconnaître les détails individuels d’un site Web. Si ces détails sont liés à des données personnelles, ces données peuvent être divulguées. Par exemple, les e-mails d’une boîte de réception Web pourraient être lus à partir d’un site malveillant, car la fonction de recherche répondrait de manière différente selon qu’il y avait ou non des résultats pour un terme de recherche.

Afin d’analyser systématiquement les XS-Leaks, le groupe a d’abord identifié trois caractéristiques de telles attaques. Sur la base de ceux-ci, ils ont ensuite dérivé un modèle formel qui aide à comprendre XS-Leaks et aide à détecter de nouvelles attaques. En conséquence, les chercheurs ont identifié 14 nouvelles catégories d’attaques.


Deux nouvelles attaques cassent la certification PDF


Plus d’information:
XSinator.com : d’un modèle formel à l’évaluation automatique des fuites intersites dans les navigateurs Web, PDF : xsinator.com/paper.pdf

Fourni par Ruhr-Universitaet-Bochum

Citation: Quatorze nouveaux types d’attaques sur les navigateurs Web détectés (2021, 2 décembre) récupérés le 2 décembre 2021 à partir de https://techxplore.com/news/2021-12-fourteen-web-browsers.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.