DIABASTE DWREAN SEC 127
techmail
electec 2022 3
ψηφιακή τηλεόραση
securityreport e mag odhgos 2021
6 Οκτωβρίου 2021 10:40

SpookJS: Νέα επίθεση στη προστασία ιστότοπων της Google Chrome

Το τελευταίο χρόνο έχει σημειωθεί μια ραγδαία αύξηση επιθέσεων για την απόκτηση προσωπικών δεδομένων των χρηστών από διάφορες πλατφόρμες. Πριν κάποιες ώρες βγήκε ανακοίνωση για νέο τρόπο επίθεσης κερδοσκοπικής εκτέλεσης τύπου Spectre, η οποία χρησιμοποιεί σύγχρονους επεξεργαστές, οι οποίοι είναι ενσωματωμένοι στα προγράμματα περιήγησης Google Chrome και Chromium. Η επίθεση αυτή καταφέρνει να προσπεράσει με επιτυχία την διαδικασία προστασίας απομόνωσης τοποθεσίας ιστοσελίδων δημοσιεύοντας ευαίσθητες πληροφορίες.

Το τελευταίο χρόνο έχει σημειωθεί μια ραγδαία αύξηση επιθέσεων για την απόκτηση προσωπικών δεδομένων των χρηστών από διάφορες πλατφόρμες. Πριν κάποιες ώρες βγήκε ανακοίνωση για νέο τρόπο επίθεσης κερδοσκοπικής εκτέλεσης τύπου Spectre, η οποία χρησιμοποιεί σύγχρονους επεξεργαστές, οι οποίοι είναι ενσωματωμένοι στα προγράμματα περιήγησης Google Chrome και Chromium. Η επίθεση αυτή καταφέρνει να προσπεράσει με επιτυχία την διαδικασία προστασίας απομόνωσης τοποθεσίας ιστοσελίδων δημοσιεύοντας ευαίσθητες πληροφορίες.

Ακαδημαϊκοί από διάφορα Πανεπιστήμια όπως του Πανεπιστημίου του Μίσιγκαν και του Πανεπιστημίου του Τελ Αβίβ, του Ινστιτούτου Τεχνολογίας της Γεωργίας ονόμασαν την επίθεση αυτή SpookJS. Η τεχνική αυτή-γραμμένη σε JavaScript- έχει ως στόχο να προσπεράσει όλες τις διαδικασίες που έχει θέσει η Google μετά την ανακοίνωση κάποιον ευαλωτήτων στα Spectre και Meltdown που ανακαλύφθηκαν τον Ιανουάριο το 2018. Το Spectre και το Meltdown είναι οι δύο ευπάθειες στα chip επεξεργαστών που εντόπισαν χάκερς. Το Spectre δίνει τη δυνατότητα σε χάκερς να εξαπατήσουν τον επεξεργαστή, ώστε να ξεκινήσει η speculative execution διαδικασία. Για να έχουν οι υπολογιστές την ταχύτερη επίδοση, εφαρμόστηκε στους επεξεργαστές τους μια τεχνολογία βελτιστοποίησης όπου “μαντεύει” ο υπολογιστής ουσιαστικά ποιες πληροφορίες θα πρέπει να εκτελέσει για την επόμενη λειτουργία του. Αυτό ονομάζεται speculative execution, και όσο ο επεξεργαστής προσπαθεί να προβλέψει τις λειτουργίες που θα χρειαστεί στη συνέχεια της εργασίας του ο χρήστης, η πρόσβαση σε κακόβουλους χρήστες γίνεται πιο εύκολη.

Το Spectre δίνει τη δυνατότητα σε hackers να ξεγελάσουν τον επεξεργαστή να ξεκινήσει η speculative execution διαδικασία, ώστε να μπορούν να διαβάσουν τα ευαίσθητα δεδομένα που διαθέτει ο επεξεργαστής καθώς προσπαθεί να μαντέψει τη λειτουργία που θα εκτελέσει ο υπολογιστής στη συνέχεια. Το Meltdown, επιτρέπει στους χάκερς να έχουν πρόσβαση σε πληροφορίες περί ασφαλείας μέσω του λειτουργικού συστήματος ενός υπολογιστή, όπως είναι τα Microsoft Windows ή το macOS της Apple. Οι ερευνητές δήλωσαν ότι “Μια ιστοσελίδα που ελέγχεται από εισβολείς μπορεί να γνωρίζει ποιες άλλες σελίδες από τους ίδιους ιστότοπους περιηγείται ένας χρήστης, να ανακτήσει ευαίσθητες πληροφορίες από αυτές τις σελίδες και ακόμη και να ανακτήσει διαπιστευτήρια σύνδεσης (π.χ. όνομα χρήστη και κωδικό πρόσβασης) όταν συμπληρώνονται αυτόματα”. Ακόμη, πρόσθεσαν στη δήλωσή τους ότι “ο εισβολέας μπορεί να ανακτήσει δεδομένα από επεκτάσεις Chrome (όπως διαχειριστές διαπιστευτηρίων) εάν ένας χρήστης εγκαταστήσει μια κακόβουλη επέκταση”.

Το Spectre, ορισμένο ως CVE-2017-5753 και CVE-2017-5715, αναφέρεται σε μια κατηγορία ευάλωτων σημείων υλικού σε CPU που σπάει την απομόνωση μεταξύ διαφορετικών εφαρμογών και επιτρέπει στους χάκερς να ξεγελάσουν ένα πρόγραμμα για να αποκτήσουν πρόσβαση σε αυθαίρετες τοποθεσίες που σχετίζονται με το χώρο μνήμης του. Έτσι, καταφέρνει να διαβάσει το περιεχόμενο της προσπελάσιμης μνήμης αποκτώντας δυνητικά ευαίσθητα δεδομένα. “Αυτές οι επιθέσεις χρησιμοποιούν τις κερδοσκοπικές δυνατότητες εκτέλεσης των περισσότερων CPU για πρόσβαση σε μέρη της μνήμης που πρέπει να είναι εκτός ορίου σε ένα κομμάτι κώδικα και στη συνέχεια χρησιμοποιούν επιθέσεις χρονισμού για να ανακαλύψουν τις τιμές που είναι αποθηκευμένες σε αυτήν τη μνήμη”, σημείωσε η Google, προσθέτοντας “Αποτελεσματικά, αυτό σημαίνει ότι ο κώδικας αυτός μπορεί να είναι σε θέση να διαβάσει οποιαδήποτε μνήμη στο χώρο διευθύνσεων της διαδικασίας του”.

Η διαδικασία προστασίας απομόνωσης τοποθεσίας ιστοσελίδων της Google δημιουργήθηκε το 2018, και το λογισμικό της είναι σχεδιασμένο έτσι ώστε να δυσκολέψει την εκμετάλλευση αυτών των επιθέσεων και μεταξύ άλλων να μειώνουν την λεπτομερής χρονομέτρηση. Με ενεργοποιημένη τη λειτουργία, οι εκδόσεις του προγράμματος περιήγησης Chrome 67 και νεότερες εκδόσεις θα φορτώνουν σε κάθε ιστότοπο τη δικής τους διαδικασία και, ως εκ τούτου, θα αποτρέπουν επιθέσεις μεταξύ διαδικασιών και επομένως μεταξύ ιστότοπων. Ωστόσο, οι ερευνητές βρήκαν σενάρια όπου οι διαδικασίες ασφάλειας απομόνωσης ιστότοπου δεν χωρίζουν δύο ιστότοπους, υπονομεύοντας ουσιαστικά την προστασία Spectre. Η Spook.js εκμεταλλεύεται αυτή την ιδέα του σχεδιασμού για να οδηγήσει σε διαρροή πληροφοριών από προγράμματα περιήγησης που βασίζονται στο Chrome και στο Chromium που εκτελούνται σε επεξεργαστές Intel, AMD και Apple M1. Έτσι το Chrome διαχωρίζει:

Τα ‘example.com’ και ‘example.net’ λόγω διαφορετικών [τομέων ανώτερου επιπέδου].
Τα ‘example.com’ και ‘attacker.com’.
Ωστόσο επιτρέπεται:

Στο ‘attacker.example.com’ και στο ‘εταιρικό.example.com’ να μοιράζονται την ίδια διαδικασία.
Επιτρέπει στις σελίδες που φιλοξενούνται στο” attacker.example.com ‘να εξάγουν δυνητικά πληροφορίες από σελίδες κάτω από’ εταιρικές. Example.com
H ομάδα ασφαλείας του Chrome, τον Ιούλιο του 2021, επέκτεινε την απομόνωση ιστότοπου για να διασφαλίσει ότι “οι επεκτάσεις δεν μπορούν πλέον να μοιράζονται διαδικασίες μεταξύ τους”, εκτός από την εφαρμογή τους σε “ιστότοπους όπου οι χρήστες συνδέονται μέσω τρίτων παρόχων”.

Η νέα ρύθμιση, που ονομάζεται Αυστηρή απομόνωση επέκτασης, είναι ενεργοποιημένη από τις εκδόσεις 92 του Chrome και νεότερες εκδόσεις. “Διαχωρίσουν αμέσως τον κώδικα JavaScript που παρέχεται από το χρήστη από όλο το άλλο περιεχόμενο για τον ιστότοπό τους φιλοξενώντας όλο τον κώδικα JavaScript που παρέχεται από το χρήστη σε έναν τομέα που έχει διαφορετικό eTLD +1″, ανέφεραν οι ερευνητές. “Με αυτό τον τρόπο, η αυστηρή απομόνωση ιστότοπου δεν θα ενοποιήσει τον κώδικα που παρέχεται από τους επιτιθέμενους με δυνητικά ευαίσθητα δεδομένα στην ίδια διαδικασία, θέτοντας τα δεδομένα εκτός εμβέλειας ακόμα και για το Spook.js καθώς δεν μπορεί να υπερβεί τα όρια επεξεργασίας”.

Είναι φανερό ότι όσο εξελίσσεται η τεχνολογία, τόσο πιο συχνά ερχόμαστε αντιμέτωποι με νέες απειλές κάθε μέρα. Αυτές οι νέες επιθέσεις, βρίσκουν τα αδύνατα και εκτεθειμένα σημεία ενός λογισμικού, ενός συστήματος, ακόμα και μιας εταιρείας με αποτέλεσμα να τα εκμεταλλεύονται για δικό τους σκοπό. Ο μόνος τρόπος να προστατευτούν επιχειρήσεις και χρήστες είναι με την άμεση αντιμετώπιση και πρόληψη. Θα πρέπει να δίνουμε μεγάλη προσοχή στις ιστοσελίδες που επισκεπτόμαστε, από ποιες ιστοσελίδες κατεβάζουμε αρχεία, αν αυτά τα αρχεία είναι ασφαλή και να έχουμε πάντα κάποιο Antivirus λογισμικό κατεβασμένο στον υπολογιστή ή κινητό μας. Επίσης, θα πρέπει να αποφεύγουμε να αποθηκεύουμε κωδικούς των λογαριασμών μας σε ιστοσελίδες που επισκεπτόμαστε, αφού είναι εύκολο για κάποιον να αποκτήσει πρόσβαση σε αυτούς. Δεν υπάρχει πλήρης προστασία στο διαδίκτυο, αλλά με αυτά τα μικρά βήματα μπορούμε να κρατήσουμε τις συσκευές μας και τους κωδικούς μας ασφαλές.

Πηγή: https://www.csii.gr/nea-epithesi-me-onoma-spookjs-sti-prostasia-istotopon-tis-google-chrome/

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

  • Κυκλοφορεί το Security Report Ιουλίου

    Κυκλοφορεί το Security Report Ιουλίου

    Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Ιουλίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχοςθα βρείτε ενδιαφέροντα θέματα και δοκιμές πο...
  • IFSEC International 2022 – Ρεπορτάζ από τον εκθεσιακό χώρο του ExCeL στο Λονδίνο!

    IFSEC International 2022 – Ρεπορτάζ από τον εκθεσιακό χώρο του ExCeL στο Λονδίνο!

    Με απόλυτη επιτυχία ολοκληρώθηκε η διεθνής έκθεση IFSEC International 2022, η οποία επέστρεψε στον εκθεσιακό χώρο ExCeL του Λονδίνου μετά από δύο χρόνια απουσίας. Όπως κάθε χρόνο, έτσι και φέτος, ...
  • SIGMA SECURITY – Εγκαίνια του νέου καταστήματος της εταιρείας στο Περιστέρι

    SIGMA SECURITY – Εγκαίνια του νέου καταστήματος της εταιρείας στο Περιστέρι

    Ένα νέο σημείο εξυπηρέτησης για τους επαγγελματίες συστημάτων ασφαλείας άνοιξε στο μεγαλύτερο σε πληθυσμό Δήμο της χώρας, το Περιστέρι. Πρόκειται για το καινούργιο κατάστημα της SIGMA SECURITY...
  • 2ο Τεχνικό Σεμινάριο Σ.Α.Ε.Ε.Σ.Α.Ε. στην Θεσσαλονίκη!

    2ο Τεχνικό Σεμινάριο Σ.Α.Ε.Ε.Σ.Α.Ε. στην Θεσσαλονίκη!

    Ο Σύνδεσμος Αδειοδοτημένων Επιχειρήσεων Εγκατάστασης Συστημάτων Ασφαλείας Ελλάδος, σε συνεργασία με την Dahua Technology Greece, πραγματοποίησαν με μεγάλη επιτυχία το δεύτερο τεχνικό σεμινάριο του...
  • Οι τάσεις και οι προκλήσεις που πρέπει να ξεπεράσουν οι Integrators

    Οι τάσεις και οι προκλήσεις που πρέπει να ξεπεράσουν οι Integrators

    Αν θέλαμε να δώσουμε έναν ορισμό για την φυσική-περιμετρική ασφάλεια, τότε θα μπορούσαμε να πούμε πως αυτή, αποτελείται από όλα εκείνα τα συστήματα και τις τεχνολογίες που προστατεύουν τους ανθρώπ...
  • Αναγνώριση Προσώπου

    Αναγνώριση Προσώπου

    Η βελτιωμένη ακρίβεια και τα πλεονεκτήματα που παρέχει η σημερινή τεχνολογία της αναγνώρισης προσώπου την καθιστούν ιδανικό εργαλείο για τον έλεγχο της ταυτότητας των χρηστών. Οι επαγγελματίες του...
  • Το νέο πρότυπο κωδικοποίησης βίντεο H.266 μειώνει το μέγεθος του βίντεο έως και 50%

    Το νέο πρότυπο κωδικοποίησης βίντεο H.266 μειώνει το μέγεθος του βίντεο έως και 50%

    Το 2020, η Fraunhofer HHI με έδρα το Βερολίνο ανακοίνωσε επίσημα το πρότυπο κωδικοποίησης και αποκωδικοποίησης βίντεο επόμενης γενιάς H.266/VVC (Versatile Video Coding), το οποίο υποστηρίζεται πλέ...
  • Hikvision AX Hybrid PRO

    Hikvision AX Hybrid PRO

    Η Hikvision ανακοίνωσε την κυκλοφορία ενός νέου συστήματος συναγερμού, το AX Hybrid PRO που έρχεται με μία νέα και καινοτόμα τεχνολογία μετάδοσης δεδομένων, την «Speed-X». Με τη νέα αυτή τεχνολογί...
  • Supervoice SVC-SP10, SVC-SP20 και SVC-SP30

    Supervoice SVC-SP10, SVC-SP20 και SVC-SP30

     Η Supervoice πρόσφατα ανακοίνωσε την κυκλοφορία μίας νέας σειράς HD IP μεγαφώνων και horn, που έρχεται να συμπληρώσει την γκάμα προϊόντων της. Πρόκειται για δύο προηγμένα IP speakers και ένα...
  • Uniview XVR301-Q Series & XVR301-16G Series XVR 4, 8 και 16 καναλιών

    Uniview XVR301-Q Series & XVR301-16G Series XVR 4, 8 και 16 καναλιών

    H εταιρία Stam Electronics επεκτείνει την προϊόντική γκάμα βιντεοεπιτήρησης της και ανακοινώνει μία νέα συνεργασία με τη UNIVIEW, τον τρίτο μεγαλύτερο κατασκευαστή CCTV προϊόντων στον κόσμο! Θέλον...
ΤΟ ΑΠΟΛΥΤΟ
ΠΕΡΙΟΔΙΚΟ
ΓΙΑ ΤΑ
ΣΥΣΤΗΜΑΤΑ
ΑΣΦΑΛΕΙΑΣ

ΕΠΙΚΟΙΝΩΝΙΑ
LIBRA PRESS
Καυκάσου 145, Αθήνα, 11364



ΕΝΗΜΕΡΩΤΙΚΑ ΔΕΛΤΙΑ

Please enable the javascript to submit this form


Securityreport.gr - Το απόλυτο περιοδικό για τα συστήματα ασφαλείας
Libra Press © Copyright 2022 | All Rights Reserved
Dual Design