Stručnjaci za IT bezbednost identifikovali su 14 novih tipova napada na web pretraživače koji su poznati kao curenje na više lokacija(cross-site) ili XS-Leaks. Koristeći XS-Leaks, zlonamerna web lokacija može da preuzme lične podatke posetilaca interakcijom sa drugim web lokacijama u pozadini. Istraživači sa Ruhr-Universitat Bochum (RUB) i Univerziteta primenjenih nauka Niederrhein testirali su koliko je 56 kombinacija pretraživača i operativnih sistema zaštićeno od 34 različita XS-Leaks-a.
U tu svrhu razvili su web lokaciju XSinator.com, koja im je omogućila da automatski skeniraju pretraživače za ova curenja. Popularni pretraživači kao što su Chrome i Firefox, na primer, bili su ranjivi na veliki broj XS-Leaks-a. „XS-Leaks su često greške u pretraživaču koje proizvođač mora da popravi,“ kaže Lukas Knittel, jedan od autora rada iz Bochum-a.
Istraživači su svoje nalaze objavili na internetu i na ACM konferenciji o računarskoj i komunikacionoj bezbednosti, koja je održana kao virtuelni događaj sredinom novembra 2021. Na konferenciji su Lukas Knittel, dr Christian Mainka, Dominik Nos i profesor Jorg Shwenk sa Instituta Horst Gertz za IT-bezbednost u RUB-u, kao i profesor Markus Niemietz sa Univerziteta primenjenih nauka Niederrhein, dobili su nagradu za najbolji rad za svoju studiju. Studija se odvijala u okviru klastera izvrsnosti „CASA—Sajber bezbednost u doba velikih protivnika“.
Kako funkcioniše XS-Leaks
XS-Leaks zaobilazi takozvanu politiku istog porekla, jednu od glavnih odbrana pretraživača od raznih vrsta napada. Svrha politike istog porekla je da spreči krađu informacija sa pouzdane web lokacije. U slučaju XS-Leaks-a, napadači ipak mogu prepoznati pojedinačne detalje web lokacije. Ako su ovi detalji vezani za lične podatke, ti podaci mogu da procure. Na primer, e-poruke u prijemnom sandučetu web pošte mogu se čitati sa zlonamernog sajta, jer bi funkcija pretrage reagovala na drugačiji način u zavisnosti od toga da li postoje rezultati za termin za pretragu ili ne.
Da bi sistematski analizirala XS-Leaks, grupa je prvo identifikovala tri karakteristike takvih napada. Na osnovu njih, oni su zatim izveli formalni model koji pomaže u razumevanju XS-Leaks-a i pomaže u otkrivanju novih napada. Kao rezultat toga, istraživači su identifikovali 14 novih kategorija napada.
