Hackerii chinezi ocolesc uneltele de confidentialitate web
Hackerii chinezi folosesc un nou atac watering hole pentru a eluda instrumentele de confidențialitate web populare, potrivit firmei de securitate AlienVault.
Aceste atacuri vizează de obicei grupuri particulare prin intermediul anumitor site-uri web, care, în acest caz, includ organizații internaționale non-guvernamentale (ONG-uri) și site-uri Uyghur și islamice. Atacatorii compromit site-urile folosite de către grupuri și includ conținut malware care se execută atunci când utilizatorii accesează site-urile afectate, scrie Smartnews.
Cercetătorii au descoperit că hackerii chinezi exploatează vulnerabilități în cele mai vizitate site-uri din China, pentru a viza persoanele care accesează conținut web cenzurat de stat ca fiind considerat ostil. Chiar și utilizatorii care folosesc instrumente de confidențialitate web populare, cum ar fi browserele TOR sau conexiunile VPN (virtual private network) pentru a ocoli supravegherea statului sunt vulnerabili la acest atac watering hole.
Atacul folosește o nouă tehnică pe care cercetătorii AlienVault susțin că nu au mai întâlnit-o până acum în cazul atacurilor watering hole. În primul rând, atacatorii compromit mai multe site-uri în limba chineză asociate cu ONG-uri, comunități Uyghur și asociații islamice.
Apoi, atacatorii modifică conținutul site-urilor și includ un fișier JavaScript de pe un server malițios care exploatează vulnerabilitățile de deturnare JSONP în peste 15 site-uri chineze diferite, inclusiv în cele mai populare patru site-uri.
JSONP este o tehnică utilizată pe scară largă pentru a face solicitări JavaScript cross-domain care ocolesc politica same-origin. Cu toate acestea, evitarea politicii same-origin poate conduce la scurgeri de informații între între diferite origini sau domenii.
Folosind solicitările JSONP, atacatorii reușesc să ocolească politicile cross-domain și să colecteze informațiile private ale utilizatorului dacă acesta este conectat la unul dintre serviciile afectate. Codul JavaScript trimite apoi datele private ale utilizatorului unui server controlat de atacator.
Potrivit susținerilor lui Jaime Blasco, vicepreședinte și cercetător șef în cadrul AlienVault, vulnerabilitatea JSONP a fost mediatizată prima oară în 2013, însă site-urile afectate nu au remediat problema, făcând că aceste ultime atacuri să fie posibile.
Blasco a mai susținut că site-urile afectate ar trebui să remedieze vulnerabilitățile de deturnare JSONP prin includerea unei valori aleatorii în toate solicitările JSONP, iar nu prin folosirea cookie-urilor pentru a personaliza răspunsurile JSONP și nici prin includerea datelor utilizatorilor în răspunsurile JSONP sau folosirea Cors (cross-origin resource sharing) în loc de JSONP.
Blasco a recomandat utilizatorilor să fie vigilenți și să urmeze cele mai bune practici atunci când navighează pe web, în special dacă sunt îngrijorați de faptul că ar putea fi urmăriți.
