Ruhr-Universität Bochum (RUB) ve Niederrhein Uygulamalı Bilimler Üniversitesi’nden BT güvenlik araştırmacıları, Google Chrome, Microsoft Edge, Safari ve Mozilla Firefox dahil olmak üzere modern web tarayıcılarına karşı 14 yeni ‘XS-Leak’ siteler arası sızıntı saldırısı türü keşfetti.
Bu tür yan kanal saldırılarına ‘XS-Leaks’ denir ve saldırıların web tarayıcılarındaki ‘aynı kaynaklı’ politikayı atlamasına izin verir, böylece kötü amaçlı bir web sitesi kullanıcının bilgi girdiği güvenilir bir web sitesinden arka planda bilgi çalabilir.
“XS-Leak’in prensibi, kullanıcılar hakkında diğer web uygulamalarındaki verileri, yerel ortamları hakkındaki ayrıntılar veya bağlı oldukları iç ağlar gibi hassas bilgileri ortaya çıkarmak için web’de bulunan bu tür yan kanalları kullanmaktır,” diye açıklıyor. XS-Leaks wiki.
Örneğin, bir XS-Leak saldırısı, bir arka plan sitesinin e-posta gelen kutusu içeriğini web postasına erişmek için kullanılan etkin bir sekmeden hortumlayarak kullanmasına yardımcı olabilir.
Siteler arası sızıntılar yeni değil, ancak araştırmacıların belirttiği gibi, hepsi XS-Leaks olarak tanımlanmadı ve sınıflandırılmadı ve temel nedenleri belirsizliğini koruyor.
Araştırmaları, yeni XS-Leak’leri sistematik olarak aramayı, potansiyel azaltmaları değerlendirmeyi ve genellikle nasıl çalıştıklarını daha iyi anlamayı amaçlamaktadır.
Yeni XS Sızıntıları Bulma
Araştırmacılar ilk olarak siteler arası sızıntıların üç özelliğini belirledi ve büyük bir web tarayıcısı kümesi için tüm ekleme yöntemlerini ve sızıntı tekniklerini değerlendirdi.
Tüm XS-Leak’lerin üç ana bileşeni dahil etme yöntemleri, sızıntı teknikleri ve tespit edilebilir farklılıklardır.
Yukarıdakilere dayalı bir model oluşturduktan sonra, araştırmacılar 14’ü yeni (aşağıda artı işareti ile işaretlenmiş) olmak üzere 34 XS-Leak buldu.
Daha sonra, her birinin ne kadar savunmasız olduğunu belirlemek için 34 XS Sızıntısını 56 tarayıcı ve işletim sistemi kombinasyonuna karşı test ettiler.
Daha sonra üç bileşenden oluşan XSinator adlı bir web uygulaması oluşturdular:
- Bilinen ve yeni X-Leak’leri uygulayan, saldırgan sayfası gibi davranan bir test sitesi
- Duruma bağımlı bir kaynağın davranışını simüle eden savunmasız bir web uygulaması.
- Önceki tüm test sonuçlarını içeren bir veritabanı.
Ziyaret edebilirsiniz. XSinator sayfası ve web tarayıcınızın ve işletim sisteminizin 34 X-Leaks’e karşı ne kadar iyi ücrete sahip olduğunu görmek için testi çalıştırın.
Çeşitli tarayıcıların savunmasız olduğu XS sızıntılarının tam listesini aşağıda bulabilirsiniz:
X-Leaks’e karşı nasıl savunulur
Bu yan kanal saldırılarından kaynaklanan riskleri azaltmak veya ele almak tarayıcı geliştiricileri tarafından çözülmelidir.
Araştırmacılar, tüm olay işleyicisi iletilerini reddetmeyi, hata iletisi oluşumlarını en aza indirmeyi, genel sınır kısıtlamaları uygulamayı ve yeniden yönlendirme gerçekleştiğinde yeni bir geçmiş özelliği oluşturmayı önerir.
Diğer etkili azaltma yöntemleri, iframe öğelerinin HTML kaynaklarını yüklemesini önlemek için X-Frame Seçenekleri’ni kullanmak ve sayfaların bir kaynağı katıştırıp katıştıramayacağı denetlenmek için CORP üstbilgisini uygulamaktır.
“COIU, Birinci Taraf Yalıtımı (FPI) olarak da bilinir, kullanıcıların FF’nin uzman ayarlarında (yaklaşık:config) etkinleştirebilecekleri isteğe bağlı bir güvenlik özelliğidir ve başlangıçta Tor Browser’da kullanıma sunulmuştur.” – from kağıt.
Katılımcı araştırmacılardan Lukas Knittel, Bleeping Computer’a şunları söyledi:
“Web sitesine bağlı olarak, XS-Leaks kullanıcılar üzerinde ciddi bir etkiye sahip olabilir. Kullanıcılar, üçüncü taraf çerezleri devre dışı bırakmalarını sağlayan güncel bir tarayıcı kullanabilir. Bu, web sitesi COOP, CORP, SameSite Çerezleri gibi yeni azaltıcı etkenler uygulamasa bile çoğu XS Sızıntısına karşı koruma sağlar.” – Knittel.
Araştırmacı ayrıca, şu anda çeşitli sorunları çözen web tarayıcısı geliştirme ekiplerini bulguları hakkında bilgilendirdiklerini söyledi. Sorunlar, bazı durumlarda şu anda kullanılabilir sürümlerde zaten giderilmiştir.
Gelecekteki çalışmalara gelince, ekip yeni tarayıcı özelliklerinin sürekli olarak yeni potansiyel XS-Leak fırsatları eklediğine inanıyor, bu nedenle Bu sürekli ilgi alanıdır.
Ayrıca, Knittel bize bir web sitesi tarama aracının geliştirilmesini keşfedebileceklerini söyledi, ancak şimdilik bu kusurların gerçek dünyadaki web sitelerinde ne kadar yaygın olduğunu belirlemeye odaklanmak istiyorlar.