Браузерные программы по-прежнему разрешают загрузку с диска!

К 2020 году многие браузеры по-прежнему разрешают загрузку дисков из защищенных сред, таких как iframes с песочница. Для тех, кто не знаком с функцией drive-by-download, он описывает посещение пользователем сайта и последующую загрузку файла без взаимодействия с пользователем. Этот метод может использоваться для распространения нежелательного программного обеспечения и вредоносных программ в «надежде», что пользователи случайно или случайно загрузятся и заразятся.

Новое исследование компании Confiant, занимающееся рекламной безопасностью, показывает, что безопасные среды, такие как вложенные фреймы с песочницей, могут быть использованы для того, чтобы разрешить загрузку при посещении сайта. Поскольку большинство объявлений появляются на веб-сайте через iframe, злоумышленники могут использовать их для доставки нежелательных приложений, которые заражают компьютеры пользователей.

В январе 2020 года посетители сайта Boing Boing начали видеть фальшивые репортажи Гугл игры Защитите пользователей от необходимости загружать вредоносный APK-файл, установленный Anubis banking троянец на устройствах Android, У пользователей Windows есть поддельная страница установки Adobe Flash, которая распространяет другие вредоносные программы. Первоначально оценил, что это был один кампания злонамеренная реклама, позже было обнаружено, что CMS Boing Boing была взломана, и был представлен сценарий, который показывает эти совпадения для посетителей. После расследования этой атаки, исследователь Confiant, О. Элия ​​Штайнзаметил, что загрузка с диска началась с JavaScript который встроен в страницу. Этот сценарий создаст ссылку на страницу и щелкнет по этой ссылке, без запроса пользователя, чтобы начать загрузку.

Хотя оказалось, что эта атака не была злонамеренной рекламой, Стейн поинтересовался, можно ли провести подобную атаку с помощью вредоносной рекламы с использованием фреймов с песочницей. Как упоминалось ранее, большинство рекламных объявлений используют встроенные рамки с песочницей для интеграции рекламы на веб-сайте. Поскольку объявления контролируются третьей стороной, эти iframe обычно используются с аргументом «песочницы» для повышения безопасности и ограничения действий, которые может выполнять страница третьей стороны. Чтобы выяснить, приведет ли тот же сценарий, описанный выше, к загрузке APK в iframes изолированной программной среды с несколькими источниками, то есть iframe, загруженный с другим именем центрального компьютера, Stein создал экспериментальную страницу, чтобы попробовать разные браузеры. При создании этого песочницы iframe Стейн использовал следующие ограничения, обычно используемые в рекламе: allow-forms allow-pointer-lock allow-popups-to-escape-sandbox allow-popups allow-scripts того же источника allow-top-navigation-by-user-Activation.

Хорошей новостью является то, что с его выпуском Хром 83, загрузки исключаются в iframes с несколькими источниками с песочницей, и поэтому технология Drive-by-Download не работает. Чтобы разрешить загрузки, разработчик должен добавить «allow-downloads» в цену песочницы. Microsoft Edge, основанный на Chrome 83, также включает эту новую функцию и исключает использование диска для каждой загрузки. Mozilla Firefox не блокирует загрузку в мульти-исходных фреймах и пользователь попросил загрузить файл. Brave Browser, который фокусируется на конфиденциальности и безопасности, также не смог заблокировать загрузку с диска. Его поведение Safari это было странно, когда он пытался скачать APK-файл, но в конце концов он так и не закончил. Мобильные браузеры были несовместимы с тестированием Стейна. Браузеры Android просят пользователей загрузить файл с предупреждением, что файл APK опасен. Другие мобильные браузеры не загружают файл вообще.

Поэтому разрешить запуск сценариев для загрузки в среде, которая, как ожидается, является безопасной, проблематично, поскольку это может позволить распространять вредоносное ПО с помощью вредоносной рекламы. Хотя Chrome 83 и Microsoft Edge 83 исключает обе загрузки в iframes с песочницей, Brave и Firefox по-прежнему позволяют это. В сообщении об ошибке Mozilla Firefox разработчики Firefox уже завершили код для блокировки загрузок в iframes с песочницей и скоро добавят его в браузер. Наконец, неизвестно, решат ли проблему Brave, Safari и уязвимые мобильные браузеры в будущем.