主流瀏覽器都關事 14種XS-Leaks攻擊可跨網站偷資料

主流瀏覽器都關事 14種XS-Leaks攻擊可跨網站偷資料

幾乎所有人每日都會用到嘅瀏覽器,包括 Mozilla Firefox、Google Chrome、Microsoft Edge、Apple Safari 及 Tor browser,喺設計上原來都存在錯誤,專家指呢 14 種統稱為 XS-Leaks 攻擊,可讓黑客跨網站偷資料,竊取瀏覽器內儲存嘅私隱資料,而且係只要引誘目標人物去瀏覽一個惡意網站就得。對一般用戶嚟講有無減少風險嘅方法?答案係有嘅,但主力都係要靠瀏覽器開發者先得。

由 Ruhr-Universitay Bochumr 及 Niederrhein University 組成嘅學術研究團隊,針對現時主流嘅瀏覽器進行各種跨網站攻擊測試。研究員喺測試後發現,上述各種瀏覽器雖然都有「同源政策」(same-origin policy),即會阻止網站取得另一網站儲存在瀏覽器上嘅資訊,例如帳戶登入資料等,不過,研究員卻發現各種瀏覽器並未如想像中安全,黑客可以利用漏洞避開同源政策,而且方法更簡單到只須引導網民瀏覽一個惡意網頁,通過執行網頁上嘅程式碼,假扮成其他網站去取得相關資訊,例如黑客就可假扮成知名銀行,令瀏覽器信以為真並提供客戶之前曾儲存過嘅帳戶登入資料。

阻止跨網站偷資料有法

要阻止漏洞被利用,研究員認為瀏覽器開發公司可以拒絕所有 event handler 訊息,減少讓黑客執行各種可疑存取要求。另外如發現讀取資料嘅要求係通過轉向(redirection)而來,亦因重新產生一個瀏覽歷史記錄,而唔係直接應要求提交資料。而喺用戶方面,可以考慮開啟瀏覽器開發者自家嘅隔離(Isolation)功能,例如 Firefox 嘅 Enhanced Tracking Prevent、Safari 嘅 Intelligent Tracking Prevention 等,都可有效減低 XS-Leaks 嘅成功率。

詳情:https://bit.ly/3DB3u2S