JavaScript-атака на кэш-память процессора позволяет узнать все действия пользователя



JavaScript-атака на кэш-память процессора позволяет узнать все действия пользователя


Исследователи из Колумбийского университета смогли восстановить информацию о нажатых клавишах и кликах мышью в веб-браузере по содержимому кэш-памяти центрального процессора компьютера. По их сведениям, эксплойт эффективен на компьютерах с новыми моделями процессоров производства Intel, такими как Core i7, в браузерах, поддерживающих HTML5, что составляет около 80% всех компьютеров, сообщает «Лаборатория Касперского».

Йозеф Орен (Yossef Oren), Василеос Кемерлис (Vasileios Kemerlis), Симха Сетумадхаван (Simha Sethumadhavan) и Ангелос Керомитис (Angelos Keromytis) разработали метод атаки, выполняемой через JavaScript через вредоносную баннерную сеть. Суть метода заключается в измерении времени, требуемого для доступа к кэш-памяти последнего уровня (кэш L3 разделяется всеми ядрами процессора), и сравнении этого времени с действиями пользователя.

В своем отчете исследователи отмечают, что жертвам не нужно устанавливать какое-либо программное обеспечение, чтобы подвергнуться этой атаке, достаточно просто зайти на страницу с размещенным на ней вредоносным JS, что делает этот эксплойт очень практичным.

«Наша атака является развитием атак на кэш последнего уровня Ювы Яром (Yuva Yarom), которые позволяют удаленному злоумышленнику получать информацию, принадлежащую другим процессам, пользователям и даже другим виртуальным машинам, запущенным на том же компьютере, где работает веб-браузер жертвы», — говорится в отчете.

Когда вредоносный JavaScript запущен, он приводит кэш в исходное состояние, ожидает какого-либо действия пользователя, например нажатия клавиши, затем использует таймер браузера для замера времени, требуемого для запроса блока памяти. В случае если требуемые данные находятся в кэше, эти запросы выполняются значительно быстрее, чем другие. На основе этой информации злоумышленник может вывести соответствие запрашиваемых областей памяти с нажатиями клавиш и движениями мыши.

Исследователи, по сути, разработали первую атаку по побочному каналу, которая угрожает миллионам целей — любому современному компьютеру с процессором Intel и браузером с поддержкой HTML5. Процессоры AMD по большей части иммунны к этой угрозе из-за дизайна кэша.

Автор: Softodrom.ru
Дата:


login123
login123, 22.04.2015 21:01
Вроде статья ни о чем. Ну допустим, время больше, и как достать код символа?
Marmot
Marmot, 22.04.2015 19:12
Ну, это уже слишком! С какого перепугу JavaScript имеет право на такие запросы?! Это должно быть далеко за пределами его видимости! И что теперь делать, как защититься от такой атаки? Вставлять лишние задержки, чтобы обмануть скрипт?
» Прочитать остальные / Написать свой комментарий


Новости > Железо > JavaScript-атака на кэш-память процессора позволяет узнать все действия пользователя
Все рубрики статей:
Топ-сегодня: Железо
Названы самые популярные Windows-смартфоны
Названы самые популярные в мире смартфоны, работающие на Windows
Новый iPad и iPhone 4S оказались лидерами на «Яндекс.Маркете»
Представлен апрельский рейтинг популярных гаджетов, посвященный планшетным компьютерам, ноутбукам и мобильным телефонам
Тест iPhone 5s на водонепроницаемость (видео)
Пока одни энтузиасты ломают свои новые айфоны с помощью ножей и молотков, другие делают это проще: бросают в воду
6 доступных по цене планшетов 2-в-1 на Windows 10
Фотосъемка – это точно не самое сильное место бюджетных устройств
Acer представила новые устройства на Windows 10
Acer представила новую линейку устройств, оптимизированных для операционной системы Windows 10
Новые статьи: Железо
Microsoft предложила объединять планшеты и смартфоны в единое рабочее пространство
Соединять несколько дисплеев удобно не только для увеличения общей площади, но и для того, чтобы легче ориентироваться в выводимой на них информации
Москвичи ремонтируют iPhone чаще других смартфонов
Среди всех смартфонов, которые жители Москвы сдают в ремонтные мастерские, почти каждый третий — это iPhone
Intel оставит почти 20 процессоров уязвимыми перед Meltdown и Spectre
Компания Intel ограничила список своих процессоров, которые получат патч для защиты от уязвимостей Meltdown и Spectre
Apple разрабатывает iPhone с вогнутым дисплеем
iPhone с вогнутым дисплеем будет конкурировать с последними моделями смартфонов Samsung, дисплей которых загнут по краям
Apple откажется от процессоров Intel
Apple намеревается полностью отказаться от использования процессоров Intel

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2018 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».