+7 495 229-00-22

Автоподсказка создаёт утечку

Апрель 01, 2010

Исследователи из университета штата Индиана США и компании Майкрософт обнаружили способ получать некоторые данные из трафика, зашифрованного при помощи протокола SSL (HTTPS). Перехватывая зашифрованный трафик и анализируя размер пакетов и их атрибуты, они смогли извлечь некоторую информацию о содержимом информационного обмена.

 

Поскольку данный протокол широко применяется для защиты веб-почты, поисковых систем, интернет-магазинов и других сервисов, хранящих персональные данные, учёные видят в этом угрозу утечки чувствительной информации, такой как сведения о состоянии здоровья, тайна частной жизни, финансовые данные и т.п.

В опубликованной статье утечка демонстрируется на примере одного известного медицинского сайта. В веб-форме там имеется автозаполнение/автоподсказка (auto-suggestion feature). При этом ввод пользователем каждого нового символа в форму вызывает информационный обмен между веб-сайтом и браузером (для формирования/уточнения подсказки). Хотя этот обмен и зашифрован при помощи HTTPS, но посимвольный характер ввода позволяет определять вводимые слова на основе статистического анализа.

Аналогичные фичи автозаполнения имеются в поисковой строке Гугла, в полях форм Yahoo, Microsoft's Bing и других массовых сервисов.

Ситуацию с компрометацией данных комментирует ведущий аналитик Infowatch Николай Федотов: «Как известно любому профессионалу в области информационной безопасности, требования удобства и защищённости являются взаимно противоречивыми. Любое повышение удобства снижает защищённость и наоборот. То, что автоподсказка при заполнении форм (как, впрочем, любой посимвольный обмен) создаёт дополнительную уязвимость, было ясно давно. Но ясно лишь в принципе. Ныне такая возможность подтверждена экспериментально.

Думаю, первым ответным шагом станет появление на соответствующих сайтах опции "отключить автозаполнение". Это самый простой ответ на угрозу. В дальнейшем будут введены более сложные и более надёжные меры противодействия, например, "зашумление" информационного обмена во время уточнения автоподсказки.» 

Источник