Жаңа әдіс JavaScript кодына юзерлердің серфингтеріне тыңшылық жүргізуге мүмкіндік береді

Ақпараттық қауіпсіздік саласындағы мамандар басқа арналар арқылы шабуыл жасауға мүмкіндік беретін жаңа техниканы ашты. Осы әдістің арқасында браузер қосымша беттің бірінде іске қосылған JavaScript зиянды коды басқа қосымша беттерде орын алып жатқан жағдайды ұстауы мүмкін. Демек, пайдаланушы үшін тыңшылық үшін тамаша вектор ашылады.

Бұл әдісті пайдалана отырып, зиянкес қандай да бір пайдаланушы қандай веб-сайттарға кіретінің қадағалай алады. Мұндай ақпарат әр түрлі маркетингтік схемалар мен жарнамалық кампаниялар үшін өте қажет еді.

Әдіс туралы Негевтегі Давид Бен-Гурион атындағы университеттің, Австралиядағы Аделаид университетінің және Америкадағы Принстон Университетінің мамандары хабарлады. Техника өзі «Robust Website Fingerprinting Through the Cache Occupancy Channel» егжей-тегжейлі зерттеуде сипатталған. Сарапшылар JavaScript деректерді алу және сайтқа кірушілерді анықтау үшін пайдаланды.

«Біз көрсеткен шабуыл пайдаланушылардың жеке деректерін абыройын түсіре алады. Пайдаланушы кірген сайттар туралы ақпаратты пайдалана отырып, зиянкестер юзердің жыныстық бағдарын, діни талғамдарын, саяси көзқарастарын, денсаулық жағдайын және сол сияқты анықтай алады», — деп түсіндіреді шабуыл векторын анықтаған ғалымдардың бірі. Бұл шабуылдың қауіпті емес екеніне қарамастан, мысалы, кодты қашықтан орындау мүмкіндігі сияқты сарапшылар оны шифрлау кілттерін немесе жүйеде орнатылған осал бағдарламаларды компрометация үшін пайдалануға болады деп санайды.

Ақпарат көзі: anti-malware.ru