В Google Chrome реализуют защиту от атак по сторонним каналам

В Google Chrome реализуют защиту от атак по сторонним каналам

Google планирует добавить в Chrome новую функцию безопасности, разработанную для борьбы с атаками по сторонним каналам и отслеживанием действий пользователя. Условный злоумышленник может использовать для этих целей HTTP-кеш браузера.

Нововведение, которое в будущем появится в Chrome, будет делить HTTP-кеш браузера. Замысел в следующем: запретить документам из одного источника быть в курсе того, закеширован ли ресурс из другого источника.

Напомним, что технология современных браузеров Cross-origin resource sharing (CORS) позволяет предоставить веб-странице доступ к ресурсам другого домена.

Новый подход разработчиков Google остановит попытки атакующих запустить атаки по сторонним каналам. По словам экспертов, благодаря таким атакам злоумышленники могут осуществить следующие действия:

  • Определить, посещал ли пользователь конкретный веб-сайт — осуществляется путём простой проверки кешированных данных.
  • Осуществить атаку коросс-сайтового поиска. Здесь используется тенденция систем вроде Gmail или Google Search загружать в кеш специальную картинку, если поисковой запрос пуст.

Кеш браузера также может использоваться для снятия цифрового отпечатка пользователя. Здесь в дело вступают специальные кросс-сайтовые файлы cookies, избавиться от которых можно только путём очистки всего кеша.

Пример основанной на HTTP-кеше атаки можно посмотреть здесь.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

53% IoT-устройств в больницах содержат известные критические уязвимости

Прошлый год показал, что многие операторы программ-вымогателей считают своей основной целью медицинские учреждения и сферу здравоохранения. Ранее невиданный объём кибератак на медучреждения заставил экспертов уделить больше внимания изучению критических уязвимостей в больничном оборудовании.

Изучением проблемы занялись специалисты компании Cynerio, отметившие, что на сегодняшний день наблюдается недооценка рисков, связанных с «умными» устройствами, работающими в медицинских учреждениях.

Согласно отчёту Cynerio, 53% больничных IoT-устройств содержат известные критические уязвимости. Более того, треть прикроватных девайсов, от которых пациенты зависят больше всего, также подвержены критическим проблемам в безопасности.

Если злоумышленники будут атаковать такие устройства, уязвимости помогут им вызвать сбой в работе оборудования, скомпрометировать конфиденциальные данные и даже стать угрозой для здоровья и жизни пациентов.

Инфузионные насосы, одни из самых распространённых устройств сферы здравоохранения, создают львиную долю риска. У 73% таких девайсов имеются проблемы, связанные с багами и уязвимостями.

Команда Cynerio также подчеркнула, что серьёзной угрозой является использование устаревших версий операционной системы Windows, которые на текущий момент обслуживают большинство устройств в медицинских учреждениях.

Не стоит списывать со счетов и использование паролей по умолчанию. От этой практики срочно стоит отойти всем, кто работает с девайсами, установленными в больницах и госпиталях.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru