14種類の XS-Leaks 攻撃：Chrome／Edge／Safari／Firefox などに影響する

14 New XS-Leaks (Cross-Site Leaks) Attacks Affect All Modern Web Browsers

2021/12/06 TheHackerNews — 研究者たちは、Tor Browser／Mozilla Firefox／Google Chrome／Microsoft Edge／Apple Safari／Opera などの最新 Web ブラウザに関連する、14種類の新しいクロス・サイト (X S) データリーク攻撃を発見した。これらのバグは、 XS-Leaks と総称され、悪意の Web サイトを成立させるものだ。

その Web では、ビジターに知られないように、バック・グラウンドで別の Web サイトを操作させ、彼らの個人情報を収集することが可能になる。今回の発見は、Ruhr-Universität Bochum (RUB) と Niederrhein University の研究者グループが、クロスサイト攻撃について包括的に調査した結果によるものだ。

研究者たち、「XS-Leaks は、さまざまなタイプの攻撃に対する、ブラウザの主要な防御策の１つである、same-origin ポリシーをバイパスする。このポリシーの目的は、信頼できる Web サイトから情報が盗まれるのを防ぐことだ。それでも、XS-Leaks が生じた場合には、攻撃者は Web サイト上の個々の小さな詳細を認識できる。それらの詳細が個人データに関連付けられている場合には、 それらのデータ漏洩が生じる可能性がある」と述べている。

今回のクロス・サイト・バグは、Web プラットフォームに組み込まれたサイド・チャネルに起因しており、cross-origin の HTTP リソースから、攻撃者によるデータ収集が可能になってしまう。このクロス・サイト・バグは、Tor／Chrome／Edge／Opera／Safari／Firefox／Samsung Internet などの一般的なブラウザや、Windows／macOS／Android／iOS などの各オペレーティング・システムに影響を与える。

この新しいクラスの脆弱性は、クロス・サイト・リクエスト・フォージェリ (CSRF) 攻撃とは異なり、Web アプリケーションのブラウザ・クライアントに対する信頼を悪用し、ユーザーに代わって意図しない動作を実行するものだが、ユーザーに関する情報を推測するための武器となる。

研究者たちは、「XS-Leaks は Web ページを閲覧しただけで、たとえば、被害者が薬物中毒者なのか、漏らした性的指向は何かなどが分かってしまうため、インターネット上のプライバシーに対する重大な脅威となる。XS-Leaks は、Webサイト間のやりとりで公開される小さな情報を利用して、他の Web アプリケーションでのデータ／ローカル環境の詳細／接続している内部ネットワークなどの、ユーザーに関する機密情報を明らかにする」と述べている。

コアとなる考え方は、same-origin の制約のために、ある Web サイトが他の Web サイトのデータに直接アクセスすること (サーバーの応答を読み取ること) は、許可されていないという点に集約される。たとえば、不正なオンライン・ポータルが、特定のリソースまたは API エンド・ポイントを、Web サイト (オンライン・バンキングなど) からユーザーのブラウザにロードし、被害者のトランザクション履歴に関する推測を引き出す可能性がある。あるいは、リークの原因が、タイミング・ベースのサイド・チャネルまたは、Meltdown や Spectre などの投機的実行攻撃という可能性がある。

緩和策としては、イベント・ハンドラーのメッセージを全て拒否すること、エラーメッセージの発生を最小限に抑えること、グローバルな制限を適用すること、リダイレクトが発生した際に新しい履歴プロパティを作成すること、などが推奨されている。エンドユーザー側では、Firefox の Enhanced Tracking Prevention と同様に、First-party isolation を ON にすることで、XS-Leaks の適用範囲が減少することが確認されている。また、サードパーティの Cookie をデフォルトでブロックする、Safari の Intelligent Tracking Prevention は、ポップアップに基づかない全てのリークを防止する。

研究者たちは、「ほとんどの XS-Leak の根本的な原因は、Web のデザインに内在するものだ。多くの場合、アプリケーションは何もしていないが、クロス・サイト情報漏えいの危険にさらされている。XS-Leak の根本原因を、ブラウザ・レベルで修正することは、多くの場合において既存の Web サイトを破壊することになるため困難だ」と述べている。

脆弱性情報を拾っていると、XSS (Cross Sire Scripting) や、SSRF (Server Side Request Forgery)、XSRF (Cross Site Request Forgery) などをよく見かけますが、そのバリエーションが増えているようです。その中でも、SSRF は「OWASP Top-10 2021 Draft：Web アプリへの脅威をカテゴライズ」にも入っていて、ちょっと気になっていました。また、関連記事として「Cookie 同意の Pop-Up：すべてを受け入れることのリスクとは？」も面白いです。