Срываем маски: новая кэш-атака по сторонним каналам позволяет деанонимизировать пользователей

По словам ученых, новая атака позволяет обойти защитные меры, обеспечивающие анонимность и идентифицировать посетителей сайта, который частично или полностью находится под контролем злоумышленника. Для успешного проведения атаки хакеру достаточно знать электронные адреса жертв или их никнеймы/имена на нужном сервисе.

Атака проходит следующим образом:

1. Злоумышленник загружает ресурс (изображение, видео или даже YouTube-плейлист) на нужный сервис, позволяющий показывать или блокировать контент у определенных людей. Такие возможности есть у Google Drive, Dropbox и YouTube, а также у множества других современных сервисов.
2. Затем загруженный ресурс встраивается на вредоносный сайт с помощью HTML-тега <iframe>
3. После этого злоумышленник заставляет пользователя посетить вредоносный сайт и нажать на встроенный ресурс, который открывается виде всплывающего окна на заднем фоне. Если посетитель является жертвой, то ресурс успешно загрузится.
4. Обнаружив жертву, хакер использует кэш-атаку по сторонним каналам, чтобы проанализировать данные о том, как процессор и браузер жертвы обрабатывают запрос. Это позволит определить, входила ли жертва в учетные записи YouTube, Dropbox, Twitter, Facebook, TikTok и т.д.

Атака может быть использована против настольных и мобильных систем с различными процессорами и браузерами. Кроме этого, исследователям удалось обнаружить кое-что необычное – атака не работает, если ресурс размещен на Apple iCloud.

Стоит отметить, что деанонимизировать жертву можно только в том случае, если она входила в другие учетные записи до того, как попала на вредоносный сайт.

В качестве средства защиты исследователи уже выпустили расширение под названием Leakuidator+, доступное для браузеров Chrome, Firefox и Tor.