Κυριακή, 31 Μαΐου, 23:59
Αρχική inet Chrome Zero: επέκταση του Chrome μπλοκάρει διαρροές δεδομένων

Chrome Zero: επέκταση του Chrome μπλοκάρει διαρροές δεδομένων

Chrome Zero: Μια ομάδα ακαδημαϊκών κατάφερε να δημιουργήσει μια επέκταση του Chrome που μπορεί να εμποδίσει side-channel επιθέσεις που χρησιμοποιούν κώδικα JavaScript για τη διαρροή δεδομένων από τη μνήμη RAM ή τη CPU ενός υπολογιστή.
Το όνομα της επέκτασης είναι Chrome Zero και αυτήν τη στιγμή διατίθεται μόνο στο GitHub και όχι μέσω του επίσημου Chrome Web Store.Chrome Zero
Οι ερευνητές δημιούργησαν την επέκταση για να ξαναγράψουν και να προστατεύσουν τις λειτουργίες, τις ιδιότητες και τα JavaScript objects που χρησιμοποιούνται συχνότερα από κάθε κακόβουλο κώδικα JavaScript με στόχο τη διαρροή δεδομένων από τη CPU ή τη μνήμη RAM.
Ανάλυση
Οι ειδικοί αναφέρουν ότι επί του παρόντος υπάρχουν έντεκα state-of-the-art side-channel επιθέσεις που μπορούν να εκτελεστούν μέσω κώδικα JavaScript που εκτελείται σε ένα πρόγραμμα περιήγησης.
Κάθε επίθεση χρειάζεται πρόσβαση σε διάφορες τοπικές λεπτομέρειες, και χρησιμοποιεί κώδικα JavaScript για να διαρρεύσει, να ανακτήσει και να συγκεντρώσει τις απαραίτητες πληροφορίες πριν από αρχίσει με τη πραγματική επίθεση από κάποιο side-channel.
Αφού εξέτασαν κάθε μία από αυτές, οι ερευνητές κατάφεραν να εντοπίσουν πέντε κύριες κατηγορίες δεδομένων/χαρακτηριστικών που προσπαθούν να εκμεταλλευτούν οι side-channel JavaScript επιθέσεις: διευθύνσεις μνήμης που ανακτώνται από την JS, ακριβείς πληροφορίες χρονισμού (χρονική διαφορά), web workers, δεδομένα που μοιράζονται μεταξύ του κώδικα JS και δεδομένα από τους αισθητήρες των συσκευών.
Πως λειτουργεί η επέκταση
Η επέκταση Chrome Zero παραβιάζει ουσιαστικά τον κώδικα JavaScript που πρόκειται να τρέξει μέσω του Chrome για να ξαναγράψει ορισμένες λειτουργίες, ιδιότητες και αντικείμενα (objects) του JavaScript εξουδετερώνοντας τα αρνητικά αποτελέσματα κάποιας side-channel επίθεσης.
Οι εμπειρογνώμονες δήλωσαν ότι παρά την παρεμβατική συμπεριφορά της επέκτασης, οι δοκιμές έδειξαν ελάχιστο αντίκτυπο στην απόδοση του browser αφού κάνει χρήση μόνο 1,54% των πόρων και επιφέρει μια καθυστέρηση στη φόρτωση της σελίδας που κυμαίνεται από 0,01064 έως 0,08908 δευτερόλεπτα, ανάλογα με τον αριθμό των πολιτικών προστασίας που ισχύουν κατά το χρόνο εκτέλεσης.
Επιπλέον, ως αποτέλεσμα των προστατευτικών μέτρων της επέκτασης, η ερευνητική ομάδα αναφέρει ότι το Chrome Zero θα ήταν σε θέση να αποκλείσει το 50% των Zero Day του Chrome που εντοπίστηκαν από την κυκλοφορία του Chrome 49 και μετά.
Πώς να εγκαταστήσετε την επέκταση
Όπως αναφέραμε η επέκταση δεν διατίθεται ακόμα ακόμα μέσω του Chrome Web Store. Όμως μπορείτε να την εγκαταστήσετε εύκολα:
Κατεβάστε την επέκταση και από την σελίδα διαχείρισης επεκτάσεων του Chrome (chrome://extensions), κάνοντας κλικ στο “Load Unpacked”, επιλέξτε το φάκελο “chromezero” μέσα από τον πηγαίο κώδικα της επέκτασης.
Περισσότερες πληροφορίες είναι διαθέσιμες σε ένα paper με τίτλο “JavaScript Zero: Real JavaScript and Zero Side-Channel Attacks,” που παρουσιάστηκε τέλη Φεβρουαρίου στο NDSS Symposium που πραγματοποιήθηκε στο San Diego της California. Το paper είναι διαθέσιμο online από εδώ και εδώ, ενώ το βίντεο της παρουσίασης στο NDSS είναι παρακάτω:

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

LIVE NEWS

00:02:18

Πώς να προσθέσετε το YouTube κανάλι ή το Instagram σας στο TikTok

Το TikTok, μια από τις πιο διάσημες πλατφόρμες κοινωνικών δικτύων για τη δημιουργία και την ανάρτηση μίνι-βίντεο, έχει αποκτήσει μια μεγάλη βάση...

Γνώστα website σαρώνουν τους υπολογιστές των επισκεπτών τους

Πολλά γνωστά και ευρέως χρησιμοποιούμενα website χρησιμοποιούν ένα script προστασίας από απάτες, το οποίο σαρώνει τον τοπικό υπολογιστή σας για προγράμματα απομακρυσμένης...

Google Chrome: Νέο “anti-notification spam” σύστημα από τον Ιούλιο

Η Google ανακοίνωσε ότι σχεδιάζει να ενεργοποιήσει το νέο της "anti-notification spam" σύστημα στο Chrome, με την...

Η Amtrak επαναφέρει τους κωδικούς πρόσβασης των χρηστών μετά από παραβίαση δεδομένων

Η National Railroad Passenger Corporation (Amtrak) αποκάλυψε μια παραβίαση δεδομένων που οδήγησε στην έκθεση προσωπικών πληροφοριών ορισμένων μελών του Guest Rewards.

Οι διαμαρτυρίες στις ΗΠΑ καθυστερούν την εκδήλωση για το Android 11

Όπως ήταν προγραμματισμένο, η εκδήλωση για την παρουσίαση των χαρακτηριστικών του νέου Android 11 από την Google...

Η Cisco παραβιάστηκε μέσω εκμετάλλευσης των SaltStack servers

Η Cisco είπε σήμερα ότι ορισμένοι από τους servers υποστήριξης Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) παραβιάστηκαν με εκμετάλλευση κρίσιμων...

Valak Malware: Κλέβει δεδομένα από Microsoft Exchange Servers

Το 2019, το Valak Malware παρατηρήθηκε για πρώτη φορά, ως malware loader. Πρόσφατα όμως, έγινε γνωστό ότι...

Συσκευή “anti-5G” που κοστίζει $ 350 είναι απλά ένα USB stick

Οι φαν των θεωριών συνωμοσίας 5G έχουν ήδη αγοράσει ένα κλειδί USB anti-5G με τιμή 350 $ που φαίνεται να είναι...

Windows 10 Pro με $13 με τον SecNews κωδικό έκπτωσης

Αποκτήστε τα Windows 10 Pro με $13 με τον SecNews κωδικό έκπτωσης: Αυτή τη περίοδο οι ώρες εργασίας από το σπίτι είναι...

Διέρρευσαν δεδομένα 47,5 εκατομμυρίων χρηστών του Truecaller

Η εφαρμογή Truecaller, βοηθά στον εντοπισμό των ανώνυμων κλήσεων και προσφέρει την επιλογή επισήμανσης των spammers.