Jump to navigation

Logo RUB
  • Corona-Infos
  • Studium
  • Forschung
  • Transfer
  • News
  • Über uns
  • Einrichtungen
 
MENÜ
  • RUB-STARTSEITE
  • News
  • Wissenschaft
  • Studium
  • Transfer
  • Leute
  • Hochschulpolitik
  • Kultur und Freizeit
  • Vermischtes
  • Servicemeldungen
  • Serien
  • Dossiers
  • Bildergalerien
  • Presseinformationen
    • Abonnieren
  • RUB in den Medien
    • Abonnieren
  • Rubens
  • Rubin
    • Abonnieren
    • Printarchiv
  • Archiv
  • English
  • Redaktion

Newsportal - Ruhr-Universität Bochum

Presseinformation
  • Mit dem Tool XSinator.com haben die Forschenden zahlreiche Kombinationen aus Browsern und Betriebssystemen auf ihre Anfälligkeit für XS-Leaks untersucht.
    © RUB, Marquard
  • Ein Teil des Forschungsteams, das den Best Paper Award erhalten hat: Lukas Knittel, Christian Mainka und Dominik Noß (von links)
    © RUB, Marquard
  /  
IT-Sicherheit

14 neue Angriffe auf Webbrowser entdeckt

Mithilfe der sogenannten XS-Leaks können personenbezogene Daten im Web abgegriffen werden. Viele Browser sind betroffen.

IT-Sicherheitsexperten haben 14 neue Arten von Angriffen auf Webbrowser identifiziert, die zu den sogenannten Cross-Site-Leaks gehören, auch XS-Leaks genannt. Mithilfe von XS-Leaks kann eine böswillige Webseite persönliche Daten von Besucherinnen und Besuchern abgreifen, indem sie im Hintergrund mit anderen Webseiten interagiert. Die Forschenden der Ruhr-Universität Bochum (RUB) und der Hochschule Niederrhein testeten, wie gut 56 Kombinationen von Browsern und Betriebssystemen gegen 34 verschiedene XS-Leaks geschützt sind. Dazu entwickelten sie die Webseite XSinator.com, mit der sie Browser automatisch auf XS-Leaks untersuchen konnten. Verwundbar gegen eine Vielzahl von XS-Leaks waren zum Beispiel bekannte Browser wie Chrome und Firefox. „Häufig sind XS-Leaks Browser Bugs, die vom Hersteller behoben werden müssen“, sagt Lukas Knittel, einer der Bochumer Autoren der Arbeit.

Die Ergebnisse veröffentlichten die Forschenden im Internet und auf der „ACM Conference on Computer and Communications Security“, die Mitte November 2021 als virtuelle Veranstaltung abgehalten wurde. Lukas Knittel, Dr. Christian Mainka, Dominik Noß und Prof. Dr. Jörg Schwenk vom Horst-Görtz-Institut für IT-Sicherheit der RUB sowie Prof. Dr. Marcus Niemietz von der Hochschule Niederrhein erhielten für die Arbeit auf der Konferenz einen Best Paper Award. Die Arbeiten fanden im Rahmen des Exzellenzclusters „CASA – Cybersicherheit im Zeitalter großskaliger Angreifer“ statt.

Wie XS-Leaks funktionieren

XS-Leaks tricksen die sogenannte Same-Origin Policy aus, einen der Hauptabwehrmechanismen des Browsers gegen verschiedene Arten von Angriffen. Die Same-Origin-Policy soll eigentlich verhindern, dass Informationen von einer vertrauenswürdigen Webseite gestohlen werden können. Im Fall der XS -Leaks können Angreiferinnen und Angreifer dennoch einzelne, kleine Details einer Webseite erkennen. Sind diese Details nun an personenbezogene Daten gebunden, können diese geleakt werden. Beispielsweise konnten so von einer böswilligen Seite aus E-Mails in einem Webmail-Postfach ausgelesen werden, weil die Suchfunktion sich unterschiedlich verhielt, je nachdem, ob es Ergebnisse zu einem Suchbegriff gab oder nicht.

Systematische Suchen nach neuen Angriffen

Um die XS-Leaks systematisch zu untersuchen, identifizierte die Gruppe zunächst drei Charakteristika dieser Angriffe. Daraus leitete sie dann ein formales Modell ab, das zum einen zum Verständnis der XS-Leaks beiträgt, zum anderen dabei hilft, neue Angriffe zu finden. So konnten die Forschenden 14 neue Angriffsklassen finden.

Förderung

Die Deutsche Forschungsgemeinschaft förderte die Arbeiten im Rahmen des Exzellenzclusters CASA (EXC 2092 – 39078197). Zusätzliche Förderung kam vom Bundesministerium für Wirtschaft und Energie im Rahmen des Projekts „Industrie 4.0 Recht-Testbed“ (Förderkennzeichen 13I40V002C) und vom Europäischen Fonds für regionale Entwicklung des Landes Nordrhein-Westfalen (EFRE.NRW) im Rahmen des Projekts „MITSicherheit.NRW“.

Originalveröffentlichung

Lukas Knittel, Christian Mainka, Markus Niemietz, Dominik Trevor Noß, Jörg Schwenk: XSinator.com: From a formal model to the automatic evaluation of Cross-Site Leaks in web browsers, ACM Conference on Computer and Communications Security (ACM CCS), 2021, Online-Konferenz, Paper-Download

Pressekontakt

Lukas Knitttel
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: +49 234 32 26725
E-Mail: lukas.knittel@rub.de

Dr. Christian Mainka
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: +49 234 32 26796
E-Mail: christian.mainka@rub.de

Download hochauflösender Bilder
Der Download der gewählten Bilder erfolgt als ZIP-Datei.
Bildzeilen und Bildnachweise finden Sie nach dem Entpacken in der enthaltenen HTML-Datei.
Nutzungsbedingungen
Die Verwendung der Bilder ist unter Angabe des entsprechenden Copyrights für die Presse honorarfrei. Die Bilder dürfen ausschließlich für eine Berichterstattung mit Bezug zur Ruhr-Universität Bochum verwendet werden, die sich auf die Inhalte des Artikels bezieht, der den Link zum Bilderdownload enthält.
Ich akzeptiere die Nutzungsbedingungen.
Veröffentlicht
Donnerstag
2. Dezember 2021
09.53 Uhr
Von
Julia Weiler (jwe)
Share
Teilen

IT-Sicherheit

Die digitale Vernetzung durchdringt inzwischen fast alle Bereiche des Lebens. Schutzmechanismen zu entwickeln ist eine vordringliche Aufgabe.

Mehr aus dem Dossier
Das könnte Sie auch interessieren
Porträt
Wettbewerb

Bochumer Team erkennt Ironie auf Twitter am besten

Felix Schuster
Interview

Daten abgeschirmt verarbeiten in der Cloud

Kita-App auf Smartphone
IT-Sicherheit

Wie Kita-Apps Eltern und Kinder ausspionieren können

Derzeit beliebt
KI: Das Bochumer Team mit Projektleiter Peter Salden, Nadine Lordick, Jonas Loschke und Maike Wiethoff (von links)
Künstliche Intelligenz

Bochumer Projekt schafft Klarheit zu KI-Tools für NRW-Hochschulen

Viktoria Däschlein-Gessner
Chemie

ERC Consolidator Grant für Viktoria Däschlein-Gessner

Arne Ludwig
Physik

Die Kopplung zweier Quantenpunkte ist erstmals gelungen

 
Mehr Wissenschaft
Ressort
 
Zur Startseite
News
  • A-Z
  • N
  • K
Logo RUB
Impressum | Kontakt
Ruhr-Universität Bochum
Universitätsstraße 150
44801 Bochum

Datenschutz
Barrierefreiheit
Impressum
Schnellzugriff
Service und Themen
Anreise und Lagepläne
Hilfe im Notfall
Stellenangebote
Social Media
Facebook
Twitter
YouTube
Instagram
Seitenanfang y Kontrast N
Impressum | Kontakt