Используя только браузер и некоторые хитрые приемы, исследователь, выступавший на конференции по безопасности Black Hat, продемонстрировал, как превратить в оружие инструмент, призванный сделать веб-сайты более похожими на приложения.
Виртуальные украинские номера https://simonline.su/ru помогут вам в регистрации на подозрительных сайтах, где требуется подтверждение по СМС.
Мэтью Уикс, научный сотрудник Deloitte, сосредоточил свою работу на API доступа к файловой системе, который он называет «последним в длинной череде API-интерфейсов, [предназначенных] для того, чтобы сделать веб-страницы более функциональными по сравнению с мобильными и настольными приложениями». Он отмечает, что некоторые браузеры уже поддерживают доступ к файловым системам, а в будущем все они будут иметь такой доступ.
Преимущества онлайн сервисов очевидны.
С помощью этого инструмента веб-сайты могут предоставлять функциональные возможности везде, где к ним обращается человек, без необходимости установки приложения. Это могут быть онлайн-редакторы изображений (подобные Фотошопу), аудио-редакторы или браузерные игры, - говорит Уикс.
Атаки
Вот в чем проблема: как следует из названия, File Systems Access позволяет веб-сайтам получать доступ к файлам на вашем компьютере, и Уикс обнаружил, что особенности API, допускают некоторое тревожное поведение.
Используя специально созданную фальшивую страницу в социальных сетях, Weeks смог открыть и загрузить все фотографии из папки, а также вложенные в нее папки, когда пользователь предоставил веб-сайту доступ к фотографии. Это незначительная проблема, но легко увидеть, как человек может случайно поделиться всеми своими личными фотографиями и файлами.
Скриншот с презентации Weeks. Предоставляя доступ к папке, Weeks разрешил сайту доступ ко всему ее содержимому.
Продемонстрировав то, что Уикс назвал «небольшой ошибкой», он показал, как можно использовать File Systems Access в цикле, в котором он создает 99 файлов на ПК пользователя.
«Вам могут заполнить диск очень быстро, возможно, настолько быстро, насколько диск может записывать», - сказал Уикс.
В более вредоносной сфере Уикс продемонстрировал, как вредоносный веб-сайт аудиоредактора может скрытно записать файл DLL на компьютер жертвы. Когда жертва позже открывает в Audacity отредактированый звуковой файл, запускается вредоносный файл.
Наиболее впечатляющим было то, что Уикс называет «ловкостью рук». В этом случае жертва загружает тестовый сценарий. Уикс показал, что все содержимое файла можно проверить, и сказал, что его можно даже просканировать антивирусом и он не обнаружит угрозы. Это потому, что сценарий еще не является вредоносным. Как только жертва запускает сценарий, браузер может открыть файл и записать новый вредоносный код, который будет немедленно запущен.
Не так быстро
Вызывая беспокойство, Уикс подчеркнул, что в доступе к файловым системам предусмотрены меры безопасности. Во-первых, пользователю предлагается предоставить доступ, поэтому эти атаки нельзя сделать полностью невидимыми. API также заблокирован для обработки определенных типов файлов и запрещен доступ к определенным конфиденциальным областям файловых систем.
У Уикса было несколько предложений по улучшению доступа к файловым системам. Он должен блокировать файлы сценариев, блокировать файлы на все время, пока API имеет доступ, и чаще предлагать пользователям доступ для чтения и записи. Он также сказал, что браузеры должны обеспечивать визуальную индикацию того, что вкладка или окно имеют доступ к файлам, аналогично значкам, которые появляются, когда вы предоставляете браузеру доступ к микрофону или камере.
Небольшой совет. Каждый раз, когда вы используете сайт, которому вы предоставили доступ к своим файлам, не забудьте закрыть вкладку и все другие окна, которые сайт мог создать