Les chercheurs ont découvert un nouveau canal secondaire qui, selon eux, peut être exploité de manière fiable pour divulguer des informations à partir de navigateurs Web qui pourraient ensuite être exploités pour suivre les utilisateurs même lorsque JavaScript est complètement désactivé.

“Il s’agit d’une attaque par canal secondaire qui ne nécessite aucun JavaScript pour s’exécuter”, ont déclaré les chercheurs. “Cela signifie que les bloqueurs de scripts ne peuvent pas l’arrêter. Les attaques fonctionnent même si vous supprimez toutes les parties amusantes de l’expérience de navigation Web. Cela rend très difficile la prévention sans modifier des parties profondes du système d’exploitation.”

En évitant JavaScript, les attaques par canal latéral sont également agnostiques sur le plan architectural, ce qui entraîne des attaques d’empreintes de sites Web microarchitecturales qui fonctionnent sur toutes les plates-formes matérielles, y compris les processeurs Intel Core, AMD Ryzen, Samsung Exynos 2100 et Apple M1, ce qui en fait le premier canal secondaire connu. attaque sur les nouveaux chipsets ARM du fabricant d’iPhone.

Le résultats, qui proviennent d’un groupe d’universitaires de la Ben-Gurion Univ. du Néguev, l’Université du Michigan et l’Université d’Adélaïde, seront présentés au Symposium sur la sécurité USENIX en août.

Les attaques par canal secondaire reposent généralement sur des données indirectes telles que la synchronisation, le son, la consommation d’énergie, les émissions électromagnétiques, les vibrations et le comportement du cache dans le but de déduire des données secrètes sur un système. Plus précisément, les canaux secondaires microarchitecturaux exploitent l’utilisation partagée des composants d’un processeur à travers le code s’exécutant dans différents domaines de protection pour divulguer des informations secrètes telles que des clés cryptographiques.

En outre, des études ont également démontré précédemment des attaques entièrement automatisées telles que “Rowhammer.js“qui ne reposent sur rien d’autre qu’un site Web avec JavaScript malveillant pour déclencher des pannes sur du matériel distant, obtenant ainsi un accès illimité aux systèmes des visiteurs du site Web.

Alors que ces canaux secondaires qui fuient peuvent être efficacement obstrués par des techniques d’isolation de domaine, les fournisseurs de navigateurs ont incorporé défenses pour offrir une protection contre les attaques de synchronisation et la prise d’empreintes digitales en réduisant la précision des fonctions de mesure du temps, outre l’ajout de la prise en charge de la désactivation complète de JavaScript à l’aide de modules complémentaires tels que NoScript.

Cependant, la dernière recherche publiée cette semaine vise à contourner ces atténuations basées sur le navigateur en mettant en œuvre une attaque de canal secondaire appelée “CSS Prime + Probe” construite uniquement à l’aide de HTML et CSS, permettant à l’attaque de fonctionner même dans des navigateurs renforcés comme Tor, Chrome Zero et DeterFox qui ont complètement désactivé JavaScript ou limitent la résolution de l’API du minuteur.

“Une tendance commune dans ces approches est qu’elles sont symptomatiques et ne parviennent pas à s’attaquer à la cause profonde de la fuite, à savoir le partage des ressources microarchitecturales”, ont souligné les chercheurs. “Au lieu de cela, la plupart des approches tentent d’empêcher les fuites en modifiant le comportement du navigateur, en établissant différents équilibres entre sécurité et convivialité.”

Tout d’abord, une petite introduction: contrairement aux attaques Flush + Reload, dans lesquelles un espion peut utiliser une instruction de vidage du cache (par exemple, clflush dans x86) pour vider des lignes de cache spécifiques et déterminer si la victime a accédé à ces données en accédant à nouveau à la même ligne de mémoire et chronométrer l’accès pour un hit (les données sont de retour dans le cache) ou un échec (non accédé par la victime), Prime + Probe oblige l’attaquant à remplir tout le cache partagé afin d’expulser les données de la victime du cache, puis chronométrer ses propres accès après avoir rempli le cache – la présence d’un cache manquant indiquant que la victime a accédé à la ligne de cache correspondante provoquant la suppression des données de l’espion.

La technique CSS Prime + Probe repose alors sur le rendu d’une page Web qui comprend une longue variable de chaîne HTML couvrant tout le cache (par exemple, un élément

avec un nom de classe contenant deux millions de caractères), puis sur la recherche d’un sous-chaîne courte et inexistante dans le texte, forçant à son tour la recherche à analyser toute la chaîne. Dans la dernière étape, le temps de réalisation de cette opération de sonde est envoyé à un serveur contrôlé par l’attaquant.

“L’attaquant inclut d’abord dans le CSS un élément d’un domaine contrôlé par l’attaquant, forçant la résolution DNS”, ont expliqué les chercheurs. “Le serveur DNS malveillant enregistre l’heure de la requête DNS entrante. L’attaquant conçoit ensuite une page HTML qui évoque une recherche de chaîne à partir de CSS, sondant efficacement le cache. Cette recherche de chaîne est suivie d’une requête pour un élément CSS qui nécessite une résolution DNS. du serveur malveillant. Enfin, le décalage horaire entre les requêtes DNS consécutives correspond au temps nécessaire pour effectuer la recherche de chaîne, qui […] est un proxy pour les conflits de cache. “

Pour évaluer l’efficacité des méthodes via les attaques d’empreintes digitales de sites Web, les chercheurs ont utilisé le canal secondaire susmentionné, entre autres, pour collecter des traces d’utilisation du cache lors du chargement de différents sites Web – y compris les sites Web Alexa Top 100 – en utilisant les «memorygrams» pour entraîner une profonde modèle de réseau neuronal pour identifier un ensemble spécifique de sites Web visités par une cible.

Alors que les attaques d’occupation de cache basées sur JavaScript offrent une précision supérieure de plus de 90% sur toutes les plates-formes par rapport à CSS Prime + Probe, l’étude a noté que la précision obtenue par cette dernière est suffisamment élevée pour fuir des données qui pourraient permettre aux parties malveillantes d’identifier et de suivre utilisateurs.

“Alors, comment les utilisateurs soucieux de leur sécurité peuvent-ils accéder au Web?”, Ont conclu les chercheurs. «Un facteur de complication de ce concept est le fait que le navigateur Web utilise des ressources partagées supplémentaires au-delà du cache, telles que le résolveur DNS du système d’exploitation, le GPU et l’interface réseau. Le partitionnement du cache semble une approche prometteuse, soit en utilisant spatial isolation basée sur la coloration du cache ou par isolation temporelle basée sur le système d’exploitation.



Leave a Reply