Egy friss kutatás súlyos biztonsági hiányosságokat tárt fel a modern webinfrastruktúrában. A vizsgálat rámutat, hogy a HTTP/2 szerver push és a Signed HTTP Exchange (SXG) technológiák kihasználhatók a Same-Origin Policy (SOP) megkerülésére, ami az egyik legalapvetőbb védekezési mechanizmus a böngészők világában.
A SOP lényege, hogy megakadályozza a különböző weboldalak közötti jogosulatlan adat-hozzáférést, például amikor egy támadó megpróbálna JavaScript segítségével másik domain sütijeihez vagy API-jához hozzáférni. Ezt a védelmet eddig az origin fogalmára építették, amely az URI sémájának, hosztjának és portjának egyedi hármasát jelentette.
A kutatás rávilágított arra, hogy a HTTP/2 és HTTP/3 protokollok megjelenésével, illetve a TLS tanúsítványok SubjectAlternativeName (SAN) mezőjének alkalmazásával egy új fogalom, az authority lépett a színre, amely már nem korlátozódik egyetlen originre. Egy közösen használt tanúsítvány alapján a böngésző több, eltérő originű domaint is legitimnek tekinthet ugyanazon kapcsolat során.
A publikáció két új támadástechnikát mutatott be CrossPUSH és CrossSXG néven.
A CrossPUSH módszerrel a támadó egy olyan domain felett szerez kontrollt, amely osztozik egy tanúsítványon az áldozat weboldalával. Ezt kihasználva HTTP/2 server push segítségével képes JavaScript fájlokat „benyomni” a böngésző gyorsítótárába, úgy, hogy az áldozat domainjét állítja be az :authority mezőben. A böngésző a közös tanúsítvány alapján elfogadja a tartalmat, és az áldozat nevében hajtja végre, akár XSS, sütimanipuláció vagy kártékony fájllehívás formájában.
A CrossSXG támadás még ennél is veszélyesebb. A támadó SXG-csomagokat ír alá olyan tanúsítvánnyal, amely a SAN mezőben tartalmazza az áldozat domainjét. A böngésző a validáció során a tanúsítvány alapján elfogadja a tartalmat hitelesnek, és a felhasználónak azt jeleníti meg, mintha az az áldozat weboldaláról származna. Miközben a tartalom a támadótól érkezett.
Mivel ezek a támadások nem igényelnek közvetlen hálózati pozíciót, elegendő egy felhasználót a támadó weboldalára csábítani, például phishing vagy iframe segítségével.
A kutatók által végzett mérések szerint a probléma messze nem elméleti. A vizsgálat alapján a 14 legelterjedtebb böngésző közül 11 sebezhető valamelyik módszerrel és több ezer népszerű mobilalkalmazás (pl. Instagram, WeChat) és WebView-alapú komponens is érintett. Több mint 11 000 top domain cserélt gazdát az elmúlt időszakban, és mintegy 5 000 hibás DNS-beállítású domain alkalmas lehet tanúsítvány kiállítására a támadók által. A top 1 000 weboldal 83%-a olyan tanúsítványt használ, amely más, alacsonyabb biztonságú weboldalakkal közösen van regisztrálva, ezzel rendkívül kiszélesítve a támadási lehetőségeket. Ráadásul, a tanúsítványmegújítási és domainregisztrációs folyamatok miatt a támadók akár 796 napig is fenntarthatják a hozzáférésüket, még akkor is, ha az áldozat megpróbálja visszavonni a tanúsítványát.