Beheer

Security

Kort JavaScript laat CPU-cache alles verklappen wat je online doet

21 april 2015
Vier IT-onderzoekers hebben een JavaScript gemaakt dat op 80 procent van de desktops de CPU-cache alle toetsenbordaanslagen, muisbewegingen en kliks kan laten ophoesten.

Alles wat nodig is voor een succesvolle aanval is een redelijk moderne processor, zoals de Intel Core i7 en een browser die geschikt is voor HTML5, meldt The Register. De aanval kan worden opgezet via een webgebaseerd advertentienetwerk waarmee kan worden gemanipuleerd. De truc die het script toepast is dat het nagaat hoe veel tijd er zit tussen de activiteit van de gebruiker en het ophalen van data uit de cache. Wanneer die tijd erg kort is - korter dan andere opvragingen - zit de data in de L3 (last level) cache. Vervolgens kan de aanvaller een correlatie leggen tussen het patroon van de L3-cache en de toetsaanslagen en muisacties. Die kunnen vervolgens worden nagespeeld.

Volgens de onderzoekers Yossef Oren, Vasileios Kemerlis, Simha Sethumadhavan en Angelos Keromytis van Columbia University is de aanval een heel goedkope methode die makkelijk kan worden toegepast door digitale kruimeldieven. Er is weinig voor nodig. De browserleveranciers zijn op de hoogte gesteld zodat zij hun software kunnen aanpassen , maar daar hebben de onderzoekers nog niets van vernomen.

Sniffer werkt ook op afstand

Computers met AMD-chips zijn veilig. De architectuur van die cache is zodanig dat deze methode niet werkt.

Volgens de onderzoekers laat dit type aanval zich makkelijk opschalen zodat op afstand miljoenen pc's op de korrel kunnen worden genomen. Andere sniffer-achtige toepassingen vereisen vaak dat de aanvallers zich in de buurt van de aan te vallen pc bevinden.

De vier beschrijven hun methode in een paper genaamd The Spy in the sandbox - Practical Attacks in JavaScript (pdf). De code van de exploit geven ze pas vrij wanneer alle kwetsbare browsers zijn gepatched.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.