Google, ecco l’estensione per proteggere il web browser dai pericolosi attacchi Spectre

• di Tom's Hardware per il Fatto
• 17 Marzo 2021

Google ha pubblicato recentemente un codice JavaScript proof-of-concept (PoC) per dimostrare l’utilizzo di exploit che sfruttano la vulnerabilità nota come Spectre che potenzialmente potrebbe portare eventuali malintenzionati a ricavare dati sensibili tramite il browser. In particolare, è stata creata una demo interattiva su leaky.page, mentre un articolo su GitHub spiega nel dettaglio il suo funzionamento, al fine di aiutare nello sviluppo di patch e soluzioni.

Come probabilmente già saprete però Spectre non è completamente eliminabile, dato che è legato all’hardware del processore, quindi può essere usato indipendentemente dal sistema operativo impiegato, anche su diverse architetture e generazioni di CPU.

Dalla sua scoperta, gli sviluppatori di OS e programmi hanno fatto in modo di ovviare in parte al problema, ad esempio implementando meccanismi di sicurezza come il Site Isolation, out-of-process iframes, Cross-Origin Read Blocking per spostare le parti di memoria dove sono presenti dati importanti. Infatti, Spectre, se correttamente sfruttato, può portare alla scoperta di password, documenti e qualsiasi altro dato sensibile presente nella memoria protetta.

Google consiglia di utilizzare inoltre altri sistemi per mitigare gli attacchi Spectre, come Cross-Origin Resource Policy (CORP) e Fetch Metadata Request Headers, così da controllare quali siti possono incorporare le proprie risorse, Cross-Origin Opener Policy (COOP) e Cross-Origin Embedded Policy (COEP). Inoltre, il team di sicurezza del gigante del web ha creato un’utile estensione per Chrome, chiamata Spectroscope, per aiutare gli sviluppatori a proteggere i siti web da attacchi Spectre. Spectroscope analizza le app Web alla ricerca di eventuali vulnerabilità che potrebbero essere sfruttate da attacchi Spectre.