Los expertos en seguridad de TI han identificado 14 nuevos tipos de ataques en navegadores web que se conocen como fugas entre sitios o XS-Leaks. Con XS-Leaks, un sitio web malicioso puede capturar datos personales de los visitantes al interactuar con otros sitios web en segundo plano. Los investigadores de Ruhr-Universität Bochum (RUB) y la Universidad de Ciencias Aplicadas de Niederrhein probaron qué tan bien están protegidas 56 combinaciones de navegadores y sistemas operativos contra 34 XS-Leaks diferentes.
Con este fin, desarrollaron el sitio web XSinator.com, lo que les permitió escanear automáticamente los navegadores en busca de estas fugas. Los navegadores populares como Chrome y Firefox, por ejemplo, eran vulnerables a una gran cantidad de XS-Leaks. «XS-Leaks son a menudo errores del navegador que el fabricante debe corregir», dice Lukas Knittel, uno de los autores del artículo de Bochum.
Los investigadores publicaron sus hallazgos en línea y en la Conferencia ACM sobre seguridad informática y de las comunicaciones, que se celebró como un evento virtual a mediados de noviembre de 2021. En la conferencia, Lukas Knittel, el Dr. Christian Mainka, Dominik Noß y el profesor Jörg Schwenk del Horst Görtz Institute for IT-Security en RUB, así como el profesor Marcus Niemietz de la Universidad de Ciencias Aplicadas de Niederrhein recibieron un premio al mejor artículo por su estudio. El estudio se llevó a cabo dentro del grupo de excelencia «CASA: seguridad cibernética en la era de los adversarios a gran escala».
Cómo funcionan XS-Leaks
XS-Leaks evita la llamada política del mismo origen, una de las principales defensas de un navegador contra varios tipos de ataques. El propósito de la política del mismo origen es evitar el robo de información de un sitio web confiable. En el caso de XS-Leaks, los atacantes pueden reconocer detalles individuales de un sitio web. Si estos detalles están vinculados a datos personales, esos datos pueden filtrarse. Por ejemplo, los correos electrónicos en una bandeja de entrada de correo web podrían leerse desde un sitio malicioso, porque la función de búsqueda respondería de una manera diferente dependiendo de si hubo resultados para un término de búsqueda o no.
Para analizar sistemáticamente XS-Leaks, el grupo identificó primero tres características de tales ataques. Con base en estos, luego derivaron un modelo formal que ayuda a comprender XS-Leaks y ayuda a detectar nuevos ataques. Como resultado, los investigadores identificaron 14 nuevas categorías de ataques.
Dos nuevos ataques rompen la certificación PDF
XSinator.com: de un modelo formal a la evaluación automática de fugas entre sitios en navegadores web, PDF: xsinator.com/paper.pdf
Citación: Se detectaron catorce nuevos tipos de ataques en navegadores web (2021, 2 de diciembre) recuperados el 2 de diciembre de 2021 de https://techxplore.com/news/2021-12-fourteen-web-browsers.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con el propósito de estudio o investigación privada, ninguna parte puede ser reproducida sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.