"Технология, известная как CSS-шейдеры, разработана для того, чтобы отображать различные эффекты искажения вроде колебаний, ряби и складок. Она работает за счет предоставления программных интерфейсов, которыми разработчики могут пользоваться, чтобы применять мощные функции графических карт конечных пользователей. Но также она может быть использована злонамеренными операторами сайтов чтобы красть историю просмотров в интернете, данные с Facebook и другую чувствительную информацию у ничего не подозревающих пользователей", - предупредил недавно Адам Барт, исследователь безопасности Google Chrome.
"Поскольку сайтам позволено показывать контент, который им не позволено читать, атакующий может использовать CSS-шейдеры для чтения секретной информации через канал синхронизации", - написал Барт в своем блоге 3 декабря. "Например, сайт может использовать CSS-шейдеры для извлечения твоих личных данных на Facebook через вставленную кнопку "Like". Если более тонко, то сайт может извлечь историю твоих просмотров обойдя защиту от отслеживания истории Дэвида Бейрона".
В дискуссионном листе для разработчиков браузерного движка WebKit Барт вместе с разработчиками из Google, Adobe и Opera обсуждали риски, представляемые технологией CSS шейдеров, которая была подана в W3C в качестве стандарта индустрии в октябре. Некоторые участники утверждали, что атака, которую имел ввиду Барт, непрактична, поскольку ее нужно подстраивать под конкретный браузер, а извлечение лишь части изображения на мониторе конечного пользователя займет продолжительное время.
"Даже если тебе удастся настроить CSS-атаку под конкретный браузер, поведение визуализации которого ты понимаешь, уйдет много времени, чтобы определить ценность одного пикселя, но даже после этого, я думаю, точность и повторяемость будут очень низки", - написал в ответ разработчик из Apple Крис Маррин. "Конечно, я могу ошибаться, но я еще не видел убедительного эксплойта рендеринга CSS".
Барт признал, что у него нет надежного прототипа, демонстрирующего атаку, но он выразил обеспокоенность тем, что эта функция может подвергнуть пользователей классической browse-and-get-hacked атаке, во время которой приватная информация крадется просто при посещении не того сайт.
"Например, атакующий может применить CSS-шейдер к iframe, который содержит контент с другого сайта", - написал Барт в e-mail. "Если атакующий изготовит такой шейдер, время выполнения которого будет зависеть от содержания iframe, потенциально он сможет украсть чувствительные данные с сайта".
Он добавил, что эксплойт также может подвергнуть риску местоположение директорий с чувствительными файлами, когда пользователи загружают их на сайт.
Сценарий, изложенный Бартом, сильно напоминает уязвимость, обнаруженную в другом графическом движке, который тоже набирает обороты в качестве стандарта индустрии. В июне исследователи безопасности предупредили, что технология 3D-ускорения API, известная как WebGL, тоже позволяет сайтам извлекать изображения на мониторах посетителей. Представленный прототип эксплойта украл изображения в браузере Firefox путем "распыления" памяти в графической карте компьютера. Исследователи сказали, что другие браузеры, возможно, тоже уязвимы. Барт уверил, что с тех пор уязвимость была исправлена.
Части спецификации CSS-шейдеров доступны в еженощных сборках браузерного движка WebKit, которые формирует Google Chrome и Safari. У Adobe есть внутренняя сборка WebKit, которая реализует CSS-шейдеры более полно. Барт сказал, что он не знает о выпуске технологии для рабочих версий каких-либо браузеров. А это значит, что у коалиции разработчиков еще есть время на то, чтобы исправить недостаток, пока он не нанес ущерба.
"Есть ряд средств защиты, которые мы обсуждаем в W3C CSS-SVG Effects Task Force", - написал Барт. "На мой взгляд, самый перспективный подход – это найти подмножество шейдерного языка GLSL в котором на выполнение шейдера всегда будет уходить одно и то же количество времени, независимо от ввода. Если мы найдем такое подмножество, у сайтов будет возможность использовать эти эффекты без риска утечки чувствительной информации через канал синхронизации".
Xakep.ru