Спецпроекты

Особенность Firefox превратили в возможность воровать файлы. Работает на всех ОС. Видео

6532
Безопасность Администратору Стратегия безопасности Пользователю Интернет Интернет-ПО Техника

Реализация правила ограничения домена в Firefox позволяет красть файлы. Проблема не зависит от операционной системы. В Mozilla считают, что всё работает именно так, как надо.

Сомнительное правило

Открытие жертвой специально подготовленного HTML-файла в Firefox позволяет злоумышленникам красть файлы на компьютере, на котором установлен браузер Firefox.

Источником проблемы является как раз сам браузер, а вернее реализация в нем правила ограничения домена (Same Origin Policy) в Firefox.

Это правило (в английском - Same Origin Policy, т.е. принцип одинакового источника) предполагает, что сценариям, находящимся на страницах одного сайта, открыт доступ к методам и свойствам друг друга без ограничений, но закрывается доступ к большинству методов и свойств для страниц на разных сайтах. Одинаковыми считаются источники, у которых совпадают домен, порт и протокол.

Независимый эксперт по информационной безопасности приложений Барак Тони (Barak Tawny) опубликовал на The Hacker News своё исследование, а также описал возможную атаку на реализацию SOP, продемонстрировав, что созданный им эксплойт работает против последних версий браузера.

По словам Тони, в Firefox правило ограничения домена для схемы URI file выставлено так, что на любой поддерживаемой Firefox операционной системе киберзлоумышленник может красть файлы.

В качестве примера он демонстрирует, как в среде Linux можно с лёгкостью похитить SSH-ключи, если жертва сохраняет скачанный файл в тот же каталог, где находится другой подкаталог с секретными ключами.

Скачайте вредоносный файл, пожалуйста

Злоумышленнику потребуется отправить жертве почтовое сообщение с вредоносным вложением или заманить её на вредоносный сайт и заставить скачать нужный HTML-файл; в нём будет содержаться iframe, некое подобие кнопки, при нажатии на которую производится атака типа Clickjacking, благодаря которой в iframe того же окна открывается список всех файлов в той же папке, куда загружен вредоносный HTML. Далее злоумышленник без труда может вытянуть любой из этих файлов.

Атака будет выглядеть сходным образом во всех операционных системах, в которых можно запустить Firefox.

По словам Тони, все эти действия могут производиться автоматически в фоновом режиме, - от жертвы понадобится только нажать на злополучную кнопку.

По словам эксперта, он обратился к разработчикам Mozilla, но те не проявили никакого интереса к проблеме. «Наша реализация правила ограничения домена допускает возможность доступа к любому файлу в том же каталоге и его подкаталогах через file://», - заявили в Mozilla.

«По-видимому, это тот самый случай, когда функция работает исправно и как заявлено, но при этом её можно использовать и как вектор атаки, - считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - Теперь главный вопрос состоит в том, как разработчики Firefox сочтут необходимым реагировать, то есть, будут ли реализованы дополнительные меры защиты или всё останется как было».



Тема месяца

Обзор: Мобильность в бизнесе 2019

Рейтинг CNews Mobile

Крупнейшие разработчики мобильных приложений

Профиль месяца

Нужно ли локализовывать иностранное ПО

Александр Шохин

президент Российского союза промышленников и предпринимателей