Crackers estão explorando o serviço Analytics do Google para furtivamente roubar informações de cartão de crédito de sites de e-commerce infectados.

Segundo os relatórios da PerimeterX , Kaspersky  e Sansec , os criminosos estão injetando código de roubo de dados nos sites comprometidos, em combinação com o código de rastreamento gerado pelo Google Analytics para sua própria conta, permite que eles deixem passar as informações de pagamento inseridas pelos usuários mesmo aqueles em condições em que as políticas de segurança de conteúdo são aplicadas para segurança máxima na web.

Segundo os relatórios cerca de duas dúzias de sites foram infectados na Europa e América do Norte e do Sul especializados na venda de equipamentos digitais, cosméticos, produtos alimentícios e peças de reposição.

Esse ataque parte do princípio de que sites de e-commerce que usam o serviço de análise da web do Google para rastrear visitantes incluíram os domínios associados em sua política de segurança de conteúdo (CSP).

Contet Security Policy (Política de Segurança de Conteúdo, também conhecida como CSP) é uma camada adicional de segurança que facilita a detecção e mitigação de certos tipos de ataques, incluindo Cross Site Scripting (XSS) e ataques de injeção de dados.

Esses ataques são utilizados para diversos fins, e eles vão desde roubo de dados até desfiguração do site para distribuição de malware.

Cross Site Scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem cliente-side script dentro das páginas web vistas por outros usuários.

“A grande fonte do problema é que o sistema de regras do CSP não é suficientemente granular”, disse Amir Shaked, vice-presidente de pesquisa da PerimeterX. “O reconhecimento e a interrupção da solicitação javascript maliciosa exigem soluções avançadas de visibilidade que podem detectar o acesso e a passagem de dados confidenciais do usuário.

Para usar esta técnica, basta um pequeno código javascript que transmita os detalhes coletados, como credenciais e informações de pagamento, por meio de um evento e outros parâmetros que o Google Analytics usa para identificar diferentes ações executadas por um site.

Segundo a observação da Kaspersky eles gravam .google-analytics.com no cabeçalho Contet-Security-Policy usado para listar recursos dos quais o código de terceiros pode ser baixado, permitindo que o serviço colete dados. Além disso, o ataque pode ser implementado sem baixar código de fontes externas.

Segundo Shaked uma possível solução viria dos URLs adaptáveis, adicionando o ID como parte do URL ou subdomínio para permitir que os administradores definissem regras de CSP que restringissem a exfiltração de dados a outras contas.

Uma direção futura mais granular para fortalecer a direção do CSP a considerar como parte do padrão CSP é a imposição de proxy XHR. Isso criará essencialmente um WAF do lado do cliente que pode impor uma política sobre onde é permitido transmitir campos específicos de dados.

Proxy XHR é uma API na forma de um objeto cujos métodos transferem dados entre um navegador da web e um servidor da web. O objeto é fornecido pelo ambiente javascript do navegador.

Por: SecExperts

Fonte: TheHackerNews