JavaScript-атака на кэш-память процессора позволяет узнать все действия пользователя



JavaScript-атака на кэш-память процессора позволяет узнать все действия пользователя


Исследователи из Колумбийского университета смогли восстановить информацию о нажатых клавишах и кликах мышью в веб-браузере по содержимому кэш-памяти центрального процессора компьютера. По их сведениям, эксплойт эффективен на компьютерах с новыми моделями процессоров производства Intel, такими как Core i7, в браузерах, поддерживающих HTML5, что составляет около 80% всех компьютеров, сообщает «Лаборатория Касперского».

Йозеф Орен (Yossef Oren), Василеос Кемерлис (Vasileios Kemerlis), Симха Сетумадхаван (Simha Sethumadhavan) и Ангелос Керомитис (Angelos Keromytis) разработали метод атаки, выполняемой через JavaScript через вредоносную баннерную сеть. Суть метода заключается в измерении времени, требуемого для доступа к кэш-памяти последнего уровня (кэш L3 разделяется всеми ядрами процессора), и сравнении этого времени с действиями пользователя.

В своем отчете исследователи отмечают, что жертвам не нужно устанавливать какое-либо программное обеспечение, чтобы подвергнуться этой атаке, достаточно просто зайти на страницу с размещенным на ней вредоносным JS, что делает этот эксплойт очень практичным.

«Наша атака является развитием атак на кэш последнего уровня Ювы Яром (Yuva Yarom), которые позволяют удаленному злоумышленнику получать информацию, принадлежащую другим процессам, пользователям и даже другим виртуальным машинам, запущенным на том же компьютере, где работает веб-браузер жертвы», — говорится в отчете.

Когда вредоносный JavaScript запущен, он приводит кэш в исходное состояние, ожидает какого-либо действия пользователя, например нажатия клавиши, затем использует таймер браузера для замера времени, требуемого для запроса блока памяти. В случае если требуемые данные находятся в кэше, эти запросы выполняются значительно быстрее, чем другие. На основе этой информации злоумышленник может вывести соответствие запрашиваемых областей памяти с нажатиями клавиш и движениями мыши.

Исследователи, по сути, разработали первую атаку по побочному каналу, которая угрожает миллионам целей — любому современному компьютеру с процессором Intel и браузером с поддержкой HTML5. Процессоры AMD по большей части иммунны к этой угрозе из-за дизайна кэша.

Автор: Softodrom.ru
Дата:


login123
login123, 22.04.2015 21:01
Вроде статья ни о чем. Ну допустим, время больше, и как достать код символа?
Marmot
Marmot, 22.04.2015 19:12
Ну, это уже слишком! С какого перепугу JavaScript имеет право на такие запросы?! Это должно быть далеко за пределами его видимости! И что теперь делать, как защититься от такой атаки? Вставлять лишние задержки, чтобы обмануть скрипт?
» Прочитать остальные / Написать свой комментарий


Новости > Железо > JavaScript-атака на кэш-память процессора позволяет узнать все действия пользователя
Все рубрики статей:
Топ-сегодня: Железо
Названы самые популярные Windows-смартфоны
Названы самые популярные в мире смартфоны, работающие на Windows
Раритетный компьютер Apple продан на аукционе почти за $700 тыс
В середине 70-х годов прошлого века розничная цена Apple I составляла 666 долларов
Тест iPhone 5s на водонепроницаемость (видео)
Пока одни энтузиасты ломают свои новые айфоны с помощью ножей и молотков, другие делают это проще: бросают в воду
Продажи ремейка культового Nokia 3310 оказались почти втрое ниже лидеров рынка
Nokia называла оригинальную модель 3310 самым продаваемым телефоном в мире
Microsoft признала смерть Kinect и прекратила производство
Microsoft наконец признала, что ее игровой контроллер Kinect мертв
Новые статьи: Железо
Спрос на фаблеты в России вырос в 10 раз за год
Российские ритейлеры фиксируют резкий рост спроса на смартфоны с большим экраном: по сравнению с уровнем 2017 года он увеличился десятикратно
Роскачество назвало лучшие смартфоны 2018 года
Рейтинг смартфонов пополнился новинками, среди которых iPhone XR, Google Pixel 3 XL, Huawei Mate 20 Pro и другие
«Яндекс» представил свой смартфон
Как и ожидалось, первый смартфон «Яндекса» получил название «Яндекс.Телефон»
Microsoft может представить складной смартфон в 2019 году
Ранее сразу несколько технологических компаний анонсировали или уже показали складные смартфоны
Характеристики «Яндекс.Телефона» раскрыли за несколько дней до релиза
На сайте магазина электроники «М.Видео» появилось описание пока еще официально не представленного нового смартфона от «Яндекса»

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».