Des chercheurs ont découvert 14 nouveaux types d'attaques cross-site de fuite de données contre un certain nombre de navigateurs web modernes, dont Tor Browser, Mozilla Firefox, Google Chrome, Microsoft Edge, Apple Safari et Opera, entre autres.

Connus collectivement sous le nom de "XS-Leaks", ces failles de navigateur permettent à un site web malveillant de récolter les données personnelles de ses visiteurs lorsqu'ils interagissent avec d'autres sites web en arrière-plan, à l'insu des cibles. Ces résultats sont le fruit d'une étude approfondie des attaques intersites menée par un groupe d'universitaires de la Ruhr-Universität Bochum (RUB) et de l'université de Niederrhein.

Cette nouvelle catégorie de vulnérabilités diffère également de l'attaque CSRF (cross-site request forgery) dans la mesure où, contrairement à cette dernière, qui exploite la confiance d'une application web dans un navigateur client pour exécuter des actions involontaires au nom de l'utilisateur, elle peut être utilisée pour déduire des informations sur un utilisateur.

Bien que les sites Web ne soient pas autorisés à accéder directement aux données (c'est-à-dire à lire les réponses des serveurs) d'autres sites Web en raison des contraintes liées à l'origine commune, un portail en ligne malveillant peut tenter de charger une ressource spécifique ou un point de terminaison API d'un site Web, par exemple un site bancaire en ligne, sur le navigateur de l'utilisateur et en déduire l'historique des transactions de la victime. La fuite peut également provenir de canaux secondaires basés sur le temps ou d'attaques par exécution spéculative comme Meltdown et Spectre.

Comme mesures d'atténuation, les chercheurs recommandent de refuser tous les messages des gestionnaires d'événements, de minimiser les occurrences des messages d'erreur, d'appliquer des restrictions de limites globales et de créer une nouvelle propriété d'historique lorsque la redirection se produit. Du côté de l'utilisateur final, il a été constaté que l'activation de l'isolation de première partie ainsi que la prévention améliorée du suivi dans Firefox réduisaient l'applicabilité de XS-Leaks. La prévention intelligente du pistage dans Safari, qui bloque par défaut les cookies tiers, empêche également toutes les fuites qui ne sont pas basées sur une fenêtre pop-up.