Реализация правила ограничения домена в Firefox позволяет красть файлы
08/07/19
Сомнительное правило
Открытие жертвой специально подготовленного HTML-файла в Firefox позволяет злоумышленникам красть файлы на компьютере, на котором установлен браузер Firefox.
Источником проблемы является как раз сам браузер, а вернее реализация в нем правила ограничения домена (Same Origin Policy) в Firefox.
Это правило (в английском - Same Origin Policy, т.е. принцип одинакового источника) предполагает, что сценариям, находящимся на страницах одного сайта, открыт доступ к методам и свойствам друг друга без ограничений, но закрывается доступ к большинству методов и свойств для страниц на разных сайтах. Одинаковыми считаются источники, у которых совпадают домен, порт и протокол.
Независимый эксперт по информационной безопасности приложений Барак Тони (Barak Tawny) опубликовал на The Hacker News своё исследование, а также описал возможную атаку на реализацию SOP, продемонстрировав, что созданный им эксплойт работает против последних версий браузера.
По словам Тони, в Firefox правило ограничения домена для схемы URI file выставлено так, что на любой поддерживаемой Firefox операционной системе киберзлоумышленник может красть файлы.
В качестве примера он демонстрирует, как в среде Linux можно с лёгкостью похитить SSH-ключи, если жертва сохраняет скачанный файл в тот же каталог, где находится другой подкаталог с секретными ключами.
Злоумышленнику потребуется отправить жертве почтовое сообщение с вредоносным вложением или заманить её на вредоносный сайт и заставить скачать нужный HTML-файл; в нём будет содержаться iframe, некое подобие кнопки, при нажатии на которую производится атака типа Clickjacking, благодаря которой в iframe того же окна открывается список всех файлов в той же папке, куда загружен вредоносный HTML. Далее злоумышленник без труда может вытянуть любой из этих файлов.
Атака будет выглядеть сходным образом во всех операционных системах, в которых можно запустить Firefox.
По словам Тони, все эти действия могут производиться автоматически в фоновом режиме, - от жертвы понадобится только нажать на злополучную кнопку.
По словам эксперта, он обратился к разработчикам Mozilla, но те не проявили никакого интереса к проблеме. «Наша реализация правила ограничения домена допускает возможность доступа к любому файлу в том же каталоге и его подкаталогах через file://», - заявили в Mozilla.