SIMonline

Сервис приема & отправки SMS

Остерегайтесь браузера открывая доступ к файлам

1991   |     /   Security

Остерегайтесь браузера открывая доступ к файлам
Загружая свои фотографии или другие файлы на сайт, вы рискуете слить злоумышленникам все данные с вашего ПК. API доступ к файловым системам должен сделать веб-сайты более совместимыми с мобильными и настольными приложениями, но он сопряжен с некоторыми рисками, как было продемонстрировано на конференции по безопасности Black Hat.


Используя только браузер и некоторые хитрые приемы, исследователь, выступавший на конференции по безопасности Black Hat, продемонстрировал, как превратить в оружие инструмент, призванный сделать веб-сайты более похожими на приложения.

 

Виртуальные украинские номера https://simonline.su/ru помогут вам в регистрации на подозрительных сайтах, где требуется подтверждение по СМС.

 

Мэтью Уикс, научный сотрудник Deloitte, сосредоточил свою работу на API доступа к файловой системе, который он называет «последним в длинной череде API-интерфейсов, [предназначенных] для того, чтобы сделать веб-страницы более функциональными по сравнению с мобильными и настольными приложениями». Он отмечает, что некоторые браузеры уже поддерживают доступ к файловым системам, а в будущем все они будут иметь такой доступ.

 

Преимущества онлайн сервисов очевидны. 


С помощью этого инструмента веб-сайты могут предоставлять функциональные возможности везде, где к ним обращается человек, без необходимости установки приложения. Это могут быть онлайн-редакторы изображений (подобные Фотошопу), аудио-редакторы или браузерные игры, - говорит Уикс.

 

Атаки


Вот в чем проблема: как следует из названия, File Systems Access позволяет веб-сайтам получать доступ к файлам на вашем компьютере, и Уикс обнаружил, что особенности API, допускают некоторое тревожное поведение.

Используя специально созданную фальшивую страницу в социальных сетях, Weeks смог открыть и загрузить все фотографии из папки, а также вложенные в нее папки, когда пользователь предоставил веб-сайту доступ к фотографии. Это незначительная проблема, но легко увидеть, как человек может случайно поделиться всеми своими личными фотографиями и файлами.

 

доступ к папке
Скриншот с презентации Weeks. Предоставляя доступ к папке, Weeks разрешил сайту доступ ко всему ее содержимому.

 

Продемонстрировав то, что Уикс назвал «небольшой ошибкой», он показал, как можно использовать File Systems Access в цикле, в котором он создает 99 файлов на ПК пользователя.


«Вам могут заполнить диск очень быстро, возможно, настолько быстро, насколько диск может записывать», - сказал Уикс.

 

В более вредоносной сфере Уикс продемонстрировал, как вредоносный веб-сайт аудиоредактора может скрытно записать файл DLL на компьютер жертвы. Когда жертва позже открывает в Audacity отредактированый звуковой файл, запускается вредоносный файл.

Наиболее впечатляющим было то, что Уикс называет «ловкостью рук». В этом случае жертва загружает тестовый сценарий. Уикс показал, что все содержимое файла можно проверить, и сказал, что его можно даже просканировать антивирусом и он не обнаружит угрозы. Это потому, что сценарий еще не является вредоносным. Как только жертва запускает сценарий, браузер может открыть файл и записать новый вредоносный код, который будет немедленно запущен.

 

Не так быстро


Вызывая беспокойство, Уикс подчеркнул, что в доступе к файловым системам предусмотрены меры безопасности. Во-первых, пользователю предлагается предоставить доступ, поэтому эти атаки нельзя сделать полностью невидимыми. API также заблокирован для обработки определенных типов файлов и запрещен доступ к определенным конфиденциальным областям файловых систем.


У Уикса было несколько предложений по улучшению доступа к файловым системам. Он должен блокировать файлы сценариев, блокировать файлы на все время, пока API имеет доступ, и чаще предлагать пользователям доступ для чтения и записи. Он также сказал, что браузеры должны обеспечивать визуальную индикацию того, что вкладка или окно имеют доступ к файлам, аналогично значкам, которые появляются, когда вы предоставляете браузеру доступ к микрофону или камере.

Небольшой совет. Каждый раз, когда вы используете сайт, которому вы предоставили доступ к своим файлам, не забудьте закрыть вкладку и все другие окна, которые сайт мог создать



Похожие новости


Повышение безопасности Mozilla VPN

Разделенное туннелирование теперь доступно в Mozilla VPN для iOS и Android.

Как найти часы Apple Watch

Найдите свои потерянные Apple Watch у себя дома или любом другом месте, за много километров.

Как освободить память на Apple Watch

С появлением watchOS 8 скоро настанет время обновить ваши Apple Watch - и вы можете обнаружить, что для установки обновления недостаточно свободного места.



SIMONLINE.SU

Это не только сервис приема и отправки СМС сообщений на виртуальные номера, но еще и туториал по безопасности пользователей в современном мире, новинки разработок в IT сфере, безопасность в социальных сетях, свежие программы и уроки упрощающие нашу жизнь. Так же и другие вопросы встречающиеся у рядового пользователя. Простыми словами, каждый пользователь найдет для себя что то интересное или ответы на свои вопросы.

SIMonline © 2018 - 2024

All rights reserved