Nová útok ‘klonuje’ a zneužívá váš jedinečný online ID prostřednictvím browser fingerprinting

Výzkumníci vyvinuli metodu, jak zkopírovat charakteristiky oběti na webu pomocí technik browser fingerprinting a poté “předstírat” oběti.

Technika má několik bezpečnostních implikací: útočník může provádět poškozující nebo dokonce nezákonné online aktivity, a “záznam” těchto aktivit je připsán uživateli; a dvoufaktorová autentizace může být ohrožena, protože autentifikační web věří, že uživatel byl úspěšně rozpoznán na základě ukradeného profilu browser fingerprint.

Kromě toho může “stínový klon” útočníka navštívit weby, které mění typy reklam doručovaných tomuto uživatelskému profilu, což znamená, že uživatel začne dostávat reklamní obsah nesouvisející s jeho skutečnými aktivitami prohlížení. Kromě toho může útočník odvodit mnoho informací o oběti na základě toho, jak ostatní (nevědomé) weby reagují na padělaný browser ID.

Článek paper se jmenuje Gummy Browsers: Targeted Browser Spoofing against State-of-the-Art Fingerprinting Techniques a pochází od výzkumníků z Texas A&M University a University of Florida at Gainesville.

Přehled metodologie Gummy Browsers. Source: https://arxiv.org/pdf/2110.10129.pdf

Gummy Browsers

Eponymní “gummy browsers” jsou klonované kopie prohlížeče oběti, pojmenované podle “Gummy Fingers” útoků hlášených na počátku roku 2000, které replicovaly skutečné otisky prstů oběti pomocí gelatinových kopií, aby obešly systémy identifikace otisků prstů.

Autoři uvádějí:

‘Hlavním cílem Gummy Browsers je oklamat webový server, aby věřil, že se k němu přistupuje legální uživatel, aby mohl získat citlivé informace o uživateli (například zájmy uživatele na základě personalizovaných reklam), nebo obejít různé bezpečnostní schéma (například autentizaci a detekci podvodů), které spoléhají na browser fingerprinting.’

Pokračují:

‘Bohužel, identifikujeme významný vektor ohrožení proti takovým algoritmům propojení. Konkrétně zjišťujeme, že útočník může zachytit a padělat charakteristiky prohlížeče oběti a tedy může “představit” svůj prohlížeč jako prohlížeč oběti při připojování k webu.’

Autoři tvrdí, že technika klonování browser fingerprint, kterou vyvinuli, ohrožuje ‘zničující a trvalý dopad na online soukromí a bezpečnost uživatelů’.

Při testování systému proti dvěma fingerprinting systémům, FPStalker a Panopticlick, autoři zjistili, že jejich systém byl schopen simulovat zachycené uživatelské informace téměř vždy úspěšně, navzdory skutečnosti, že systém nezohledňoval několik atributů, včetně TCP/IP stack fingerprinting, hardware sensors a DNS resolvers.

Autoři také tvrdí, že oběť bude zcela nevědomá o útoku, což ztěžuje jeho obejití.

Metodologie

Browser fingerprinting profily jsou generovány několika faktory způsobu, jakým je nakonfigurován uživatelský webový prohlížeč. Ironicky, mnoho obranných mechanismů navržených pro ochranu soukromí, včetně instalace adblocking extension, může ve skutečnosti učinit prohlížeč fingerprint více odlišným a snazším cílem.

Browser fingerprinting nezávisí na cookies nebo session dat, ale nabízí téměř nevyhnutelný snímek uživatelské konfigurace pro jakoukoli doménu, kterou uživatel prohlíží, pokud je tato doména nakonfigurována pro využití takové informace.

Mimo zjevně škodlivé praktiky se fingerprinting obvykle používá pro cílené reklamy na uživatele, pro fraud detection a pro uživatelskou autentizaci (jedním z důvodů, proč přidání extension nebo provedení dalších změn v prohlížeči může způsobit, že weby požadují re-autentizaci, na základě faktu, že se změnil prohlížeč profil od poslední návštěvy).

Metoda navržená výzkumníky vyžaduje pouze to, aby oběť navštívila web, který je nakonfigurován pro zaznamenání jejího browser fingerprint – praxe, kterou nedávná studie odhadla je rozšířena na více než 10% z top 100 000 webů, a která tvoří část Google’s Federated Learning of Cohorts (FLOC), návrh search giant’s na alternativu k cookie-based sledování. Je to také centrální technologie v adtech platformách obecně, a proto dosahuje mnohem více než 10% webů identifikovaných ve výše uvedené studii.

Typické aspekty, které lze extrahovat z prohlížeče uživatele bez potřeby cookies.

Identifikátory, které lze extrahovat z návštěvy uživatele (shromážděné prostřednictvím JavaScript API a HTTP hlaviček) do klonovatelného prohlížečového profilu, zahrnují jazykové nastavení, operační systém, verze prohlížeče a extension, nainstalované pluginy, rozlišení obrazovky, hardware, barevnou hloubku, časové pásmo, časové razítko, nainstalované fonty, charakteristiky plátna, řetězec user-agent, HTTP požadavkové hlavičky, IP adresu a jazykové nastavení zařízení, mezi jinými. Bez přístupu k mnoha z těchto charakteristik by nebylo možné mnoho očekávaných webových funkcí.

Extrahování informací prostřednictvím odpovědí reklamní sítě

Autoři uvádějí, že reklamní data o oběti jsou poměrně snadno odhalitelná pomocí padělaného browser profilu, a mohou být užitečně využity:

‘[Pokud] je browser fingerprinting používán pro personalizované a cílené reklamy, webový server, hostující benigní web, by poslal stejné nebo podobné reklamy do prohlížeče útočníka, jako by byly poslány do prohlížeče oběti, protože webový server považuje prohlížeč útočníka za prohlížeč oběti. Na základě personalizovaných reklam (například souvisejících s produkty pro těhotné ženy, léky a značkami) může útočník odvodit různé citlivé informace o oběti (například pohlaví, věkovou skupinu, zdravotní stav, zájmy, úroveň mzdy atd.), nebo dokonce vytvořit osobní behaviorální profil oběti.

‘Únik takových osobních a soukromých informací může vyvolat hrozivou hrozbu pro uživatele.’

Pоскольку browser fingerprinty se mění v čase, udržování uživatele, aby opakovaně navštívil útočný web, bude udržovat klonovaný profil aktuální, ale autoři tvrdí, že jednorázové klonování může stále umožnit překvapivě dlouhotrvající efektivní útoky.

Uživatelská autentizace – padělání

Získání autentifikačního systému, aby se vzdal dvoufaktorové autentizace, je výhodou pro kyberzločince. Jako autoři nové studie uvádějí, mnoho současných autentifikačních (2FA) rámců používá “rozpoznaný” odvozený prohlížeč profil pro asociaci účtu s uživatelem. Pokud jsou autentifikační systémy webu spokojeny s tím, že uživatel se pokusí přihlásit na zařízení, které bylo použito při posledním úspěšném přihlášení, může, pro uživatelskou pohodlnost, nevyžadovat 2FA.

Autoři poznamenávají, že Oracle, InAuth a SecureAuth IdP všechny praktikují nějakou formu tohoto “přeskočení kontroly”, založenou na zaznamenaném prohlížečovém profilu uživatele.

Detekce podvodů

Různé bezpečnostní služby používají browser fingerprinting jako nástroj pro určení pravděpodobnosti, že uživatel je zapojen do podvodných aktivit. Výzkumníci poznamenávají, že Seon a IPQualityScore jsou dvě takové společnosti.

Je tedy možné, prostřednictvím navržené metodologie, buď neoprávněně označit uživatele za podvodníka pomocí “stínového profilu” pro spuštění prahů takových systémů, nebo použít ukradený profil jako “falešnou bradu” pro skutečné pokusy o podvod, odrazující forenzní analýzu profilu od útočníka a směrem k oběti.

Tři útočné plochy

Článek navrhuje tři způsoby, jak může být systém Gummy Browser použit proti oběti: Acquire-Once-Spoof-Once zahrnuje získání browser ID oběti v podporu jednorázového útoku, jako je pokus o přístup k chráněné doméně pod maskou uživatele. V tomto případě je “věk” ID irelevantní, protože informace jsou použity rychle a bez následného použití.

V druhém přístupu, Acquire-Once-Spoof-Frequently, útočník se snaží vyvinout profil oběti pozorováním, jak webové servery reagují na jejich profil (tj. reklamní servery, které doručují specifické typy obsahu na základě předpokladu “známého” uživatele, který již má asociovaný prohlížeč profil).

Konečně, Acquire-Frequently-Spoof-Frequently je dlouhodobějším plánem navrženým pro pravidelné aktualizování prohlížečového profilu oběti tím, že donutí oběť opakovaně navštívit neškodný web, který může být vyvinut jako zpravodajský web nebo blog. Takto může útočník provést detekci podvodů – padělání po delší dobu.

Extrahování a výsledky

Metody padělání používané Gummy Browsers zahrnují injekci skriptu, použití nastavení a debugovacích nástrojů prohlížeče a modifikaci skriptu.

Charakteristiky lze extrahovat s nebo bez JavaScriptu. Například user-agent hlavičky (které identifikují značku prohlížeče, jako Chrome, Firefox atd.), lze odvodit z HTTP hlaviček, některé z nejzákladnějších a neblokovatelných informací, které jsou nezbytné pro funkční webové prohlížení.

Při testování systému Gummy Browser proti FPStalker a Panopticlick, výzkumníci dosáhli průměrné “vlastnictví” (získaného prohlížečového profilu) více než 0,95 přes tři fingerprinting algoritmy, což mělo za následek funkční klon získaného ID.

Článek zdůrazňuje potřebu systémových architektů, aby se nespoléhali na browser profilové charakteristiky jako bezpečnostní token, a implicitně kritizuje některé větší autentifikační rámce, které přijaly tuto praxi, zejména tam, kde je použita jako metoda pro udržení “uživatelské přívětivosti” tím, že se vynechá nebo odloží použití dvoufaktorové autentizace.

Autoři uzavírají:

‘Dopad Gummy Browsers může být zničující a trvalý na online bezpečnosti a soukromí uživatelů, zejména vzhledem k tomu, že browser-fingerprinting začíná být široce přijímán ve skutečném světě. Ve světle tohoto útoku naše práce vyvolává otázku, zda je browser fingerprinting bezpečné nasadit ve velkém měřítku.’