针对用户个人或敏感数据的窃取是当前企业在线业务面临的最大威胁之一。 包括物理盗窃设备、公司网络内的内部攻击以及网络钓鱼、恶意软件或第三方脚本等各种各样的攻击媒介都是用户数据泄露背后的黑手。
在用户不知情的情况下,攻击者每时每刻都在秘密地从这些网站访问者那里窃取数据。比如在过去常见的案例中,攻击者会采用网络钓鱼的方式,利用精心制作的电子邮件引诱受害者点击将用户重定向到恶意网站的欺诈链接。
近日,有研究人员发现,攻击者正在采用更复杂的攻击手法,利用网站中用于广告和数据分析的第三方脚本劫持用户数据,秘密窃取用户的凭据、财务信息甚至医疗数据。对于普通用户而言,这样高级别的数据窃取行为几乎是难以抵御的。
研究人员指出,这些恶意第三方脚本通常会在五个方面尝试提升权限:
·浏览器登录管理器和自动填充误用
·社交数据泄露
·文档对象模型 (DOM) 泄露
·云环境中的数据泄露
·手机传感器的数据泄露。
浏览器登录管理器和自动填充滥用造成的数据泄露
许多互联网用户会将他们的登录凭据或其他个人信息存储在浏览器登录管理器和自动填充工具中,大多数情况下,这类工具会大大提升用户体验,在二次登录某个网站时无需手动填充凭证就可直接进入。
研究人员监测发现,类似登录管理器和自动填充工具这样的第三方脚本正在被攻击者大量劫持,并添加隐藏的登录表单来恶意利用。当攻击者提交一份伪造的登录表单时,浏览器登录管理器会尝试使用存储的用户凭据填写它们,并在无意中将用户敏感数据发送给第三方。
这些存储在登录管理器中的登录凭证往往会包含用户的电子邮件地址、电话号码、登录密码,甚至还有信用卡号码和身份证号码,相关信息的泄露无疑会给用户带来莫大的风险。
社交媒体账号统一登录引发的数据泄露
为了方便用户,许多网站运营商会通过社交媒体登录提供商提供联合身份验证。这样做的优点是用户不必记住密码,用户能够以简化的登录方式一键授权其他关联网站的登录操作,但这样的做法同样为用户引入的新的数据泄露风险。
当用户统一以某个社交媒体账号一键授权登录时,攻击者事实上也可以利用第三方脚本获得访问权限,并可以查询社交媒体提供商的应用程序编程接口 (API)。使他们能够秘密地从该社交媒体资料中窃取用户帐户信息或帐户 ID 以及电子邮件地址和个人地址信息。
文档对象模型 (DOM) 引发的数据泄露
网站 DOM 是一种树结构,它定义了网站内容的排列方式。特定于用户会话的动态内容可以安排在 DOM 中。DOM 树的顶层可以包含敏感或个人信息,如姓名、地址和其他数据。在银行网站上,它还可以包含更多机密信息,例如信用卡号或帐户信息。
如果攻击者在顶层劫持第三方脚本,通常可以遍历完整的 DOM 树并泄露所有机密数据。使用这些脚本,攻击者甚至可以更改网站上的事件以跟踪用户在做什么。这些脚本还可以秘密添加事件侦听器,使攻击者能够记录用户的鼠标移动。
云环境配置错误引发的数据泄露
当下,云正表现出越来越多优于其他基础设施的优势。对于网站和 Web 应用程序,可以更轻松地在云中设置代码并从那里面向公众提供服务。
但最近的研究表明,配置错误或许将是云环境面临的最大威胁之一。一些不安全的 API 会允许恶意脚本从受保护区域提取信息。它可以使攻击者获得对凭证存储的访问权限,并获取云环境的用户甚至管理员凭证。
手机传感器滥用造成的数据泄露
最近的几项研究发现,第三方脚本还可以访问移动传感器(例如 GPS、陀螺仪和运动传感器)并泄露传感器数据。尤其是在 Android设备上,存在滥用移动传感器进行秘密数据泄露的主要攻击媒介。这些攻击针对的是 Android 广告网络,受害者甚至无需下载恶意移动应用程序,恶意脚本就能够通过嵌入在应用程序中的广告访问移动传感器。
这些漏洞也可能出现在混合应用程序或移动浏览器中,它们会打开一个带有 Android 的 WebView 的窗口,以使用应用程序或移动浏览器呈现网站或网站内容。通常,WebView 应该在应用程序中被沙箱化,这样任何代码都不能在后台运行。但是,即使应用程序或浏览器窗口关闭,移动广告仍有可能秘密执行脚本以窃取移动传感器数据。
总而言之,网站、应用程序或云中的第三方脚本可能已经成为保护用户数据面临的主要威胁之一。随着企业数字化转型的深入,如何正确保护Web应用并确保用户敏感数据的安全性应该被企业视为首要的考虑因素。
京公网安备 11010802033237号
