Pesquisa descobre 14 novos ataques de roubos de dados em navegadores de internet

Pesquisa descobre 14 novos ataques de roubos de dados em navegadores de internet

Por Dácio Castelo Branco | Editado por Claudio Yuge | 06 de Dezembro de 2021 às 21h00
geralt-9301/Pixabay

Pesquisadores de segurança digital da Universidade Niederrhein de Ciências Aplicadas e da Universidade de Bochum descobriram 14 novas variantes dos chamados ataques de vazamento entre sites, usados para coleta de dados, que afetam navegadores da internet, como o Google Chrome, Microsoft Edge, Safari e o Mozilla Firefox.

Os ataques de vazamentos entre sites, conhecidos como XS-leaks, são executados a partir do abuso de mecanismos existentes nos navegadores e em sites, como a leitura de cookies, que permitem que um endereço possa interagir com outro. Com isso, páginas maliciosas podem quebrar a política de mesma origem, usada por grande parte dos navegadores para impedir vazamento de dados.

Esses ataques podem resultar, por exemplo, no vazamento de mensagens de uma conta de e-mail que está aberta em outra aba do navegador onde o site afetado pela ameaça está aberto.

No total, a pesquisa identificou 34 XS-leaks, sendo que 14 deles eram inéditos. A identificação das ameaças foi realizada a partir da avaliação de como elas se comunicavam e coletavam dados de outros sites abertos no mesmo navegador onde elas estavam atuando.

Os pesquisadores disponibilizaram a relação de falhas e quais navegadores são afetados, que pode ser conferida abaixo:

As 34 falhas XS-leaks e como elas afetam os navegadores. (Imagem: Reprodução/XSinator)

Prevenindo as falhas

Além dos testes em diferentes combinações de navegadores, os pesquisadores também criaram uma aplicação web chamada XSinator, disponível publicamente, que conta com três componentes, para usuários avaliarem o nível de risco que estão correndo caso se deparem com um site afetado por XS-leaks:

  • Um site de testes que funciona como a ameaça, utilizando novas e velhas vulnerabilidades;
  • Um site vulnerável que simula páginas de recursos governamentais;
  • Um banco de dados com todos os resultados anteriores de testes do XSinator.

Quanto a proteção total contra os XS-leaks, os pesquisadores afirmam que as falhas devem ser resolvidas pelos desenvolvedores dos navegadores. Já por parte dos usuários, a prevenção pode ser feita usando navegadores que permitam que cookies de terceiros sejam desativados, como o Google Chrome.

Fonte: BleepingComputer

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.