Pesquisa descobre 14 novos ataques de roubos de dados em navegadores de internet
Por Dácio Castelo Branco | Editado por Claudio Yuge | 06 de Dezembro de 2021 às 21h00
Pesquisadores de segurança digital da Universidade Niederrhein de Ciências Aplicadas e da Universidade de Bochum descobriram 14 novas variantes dos chamados ataques de vazamento entre sites, usados para coleta de dados, que afetam navegadores da internet, como o Google Chrome, Microsoft Edge, Safari e o Mozilla Firefox.
- Cibercriminosos aproveitam adesão em massa ao streaming para aplicar golpes
- Quais são os riscos de segurança ao aceitar os cookies de sites?
Os ataques de vazamentos entre sites, conhecidos como XS-leaks, são executados a partir do abuso de mecanismos existentes nos navegadores e em sites, como a leitura de cookies, que permitem que um endereço possa interagir com outro. Com isso, páginas maliciosas podem quebrar a política de mesma origem, usada por grande parte dos navegadores para impedir vazamento de dados.
Esses ataques podem resultar, por exemplo, no vazamento de mensagens de uma conta de e-mail que está aberta em outra aba do navegador onde o site afetado pela ameaça está aberto.
No total, a pesquisa identificou 34 XS-leaks, sendo que 14 deles eram inéditos. A identificação das ameaças foi realizada a partir da avaliação de como elas se comunicavam e coletavam dados de outros sites abertos no mesmo navegador onde elas estavam atuando.
Os pesquisadores disponibilizaram a relação de falhas e quais navegadores são afetados, que pode ser conferida abaixo:
Prevenindo as falhas
Além dos testes em diferentes combinações de navegadores, os pesquisadores também criaram uma aplicação web chamada XSinator, disponível publicamente, que conta com três componentes, para usuários avaliarem o nível de risco que estão correndo caso se deparem com um site afetado por XS-leaks:
- Um site de testes que funciona como a ameaça, utilizando novas e velhas vulnerabilidades;
- Um site vulnerável que simula páginas de recursos governamentais;
- Um banco de dados com todos os resultados anteriores de testes do XSinator.
Quanto a proteção total contra os XS-leaks, os pesquisadores afirmam que as falhas devem ser resolvidas pelos desenvolvedores dos navegadores. Já por parte dos usuários, a prevenção pode ser feita usando navegadores que permitam que cookies de terceiros sejam desativados, como o Google Chrome.
Fonte: BleepingComputer