Black Hat: JavaScript-атаки позволяют похитить данные браузера

image

Теги: JavaScript, браузер

Исследователи продемонстрировали новую технику нападения, представляющую собой комбинацию JavaScript- и тайминг-атаки.

В рамках конференции по информационной безопасности Black Hat 2013, исследователь Пол Стоун (Paul Stone) продемонстрировал разработанную им новую технику нападения, позволяющую похитить данные браузера и получить доступ ко всей хранящейся в нем информации, в том числе перехватить данные с сайтов, с которыми в данный момент работает пользователь.

Стоун наглядно продемонстрировал участникам конференции, как комбинируя JavaScript- и тайминг-атаки (эксперт создал специальную программу, анализирующую процесс прорисовки кадров в браузере), можно похитить банковские данные пользователя, узнать список ранее посещаемых ресурсов и т.п.

«Если обозреватель прорисовывает ссылки впервые, то первый кадр всегда загружается с задержкой. Если пользователи ранее не переходили по ссылкам, то второй кадр будет загружаться значительно быстрее, а если переходили – на втором и последующих кадрах также произойдет замедление рендеринга», - пояснил Стоун.

По данным эксперта, опасность разработанного им метода атаки заключается в том, что она основывается на повсеместно используемых алгоритмах работы браузера, и, следовательно, нет возможности просто выпустить исправление безопасности. Вместо этого необходимо переработать принципы работы web-обозревателей.

«Там нечего исправлять. Нет чего-то конкретного, что можно было бы исправить в индивидуальном порядке, чтобы предотвратить такое нападение», - заключил эксперт. 


или введите имя

CAPTCHA
23242
06-08-2013 05:28:32
Сильное колдунство
0 |
06-08-2013 17:26:14
Четкий коммент На самом деле с горем пополам в некоторых случаях техника позволяет считывать текст из iframe. Звучит безобидно, но если украдут платежные данные, будет не до смеха.
0 |