Cybersicherheit
Neuer Angriff ‘Klonen’ und Missbrauch Ihrer eindeutigen Online-ID über Browser-Fingerprinting
Forscher haben eine Methode entwickelt, um die Merkmale eines Opfers-Webbrowser mithilfe von Browser-Fingerprinting-Techniken zu kopieren und danach das Opfer zu ‘imitieren’.
Die Technik hat mehrere Sicherheitsimplikationen: Der Angreifer kann schädliche oder sogar illegale Online-Aktivitäten durchführen, und die ‘Aufzeichnung’ dieser Aktivitäten wird dem Benutzer zugeordnet; und zwei-Faktor-Authentifizierungs-Verteidigungen können kompromittiert werden, da eine authentifizierende Website glaubt, dass der Benutzer erfolgreich erkannt wurde, basierend auf dem gestohlenen Browser-Fingerprint-Profil.
Darüber hinaus kann der ‘Schatten-Klon’ des Angreifers Websites besuchen, die die Art der an diesen Benutzerprofil gelieferten Anzeigen ändern, was bedeutet, dass der Benutzer beginnt, Werbeinhalte zu erhalten, die nicht mit seinen tatsächlichen Browser-Aktivitäten zusammenhängen. Außerdem kann der Angreifer viel über das Opfer erfahren, basierend auf der Art und Weise, wie andere (unwissende) Websites auf die gefälschte Browser-ID reagieren.
Das Papier trägt den Titel Gummy Browsers: Targeted Browser Spoofing gegen State-of-the-Art-Fingerprinting-Techniken und stammt von Forschern der Texas A&M University und der University of Florida at Gainesville.
Überblick über die Gummy-Browsers-Methode. Quelle: https://arxiv.org/pdf/2110.10129.pdf
Gummy Browsers
Die namensgebenden ‘Gummy-Browser’ sind geklonte Kopien des Opfer-Browsers, benannt nach dem ‘Gummy-Fingers’-Angriff, der Anfang der 2000er Jahre gemeldet wurde und die tatsächlichen Fingerabdrücke des Opfers mit Gelatine-Kopien replizierte, um Fingerabdruck-IDs zu umgehen.
Die Autoren erklären:
‘Das Hauptziel von Gummy Browsers ist es, den Webserver dazu zu bringen, zu glauben, dass ein legitimer Benutzer auf seine Dienste zugreift, damit er sensible Informationen über den Benutzer (z. B. Interessen des Benutzers basierend auf personalisierten Anzeigen) erlernen oder verschiedene Sicherheitsschemata (z. B. Authentifizierung und Betrugsbekämpfung) umgehen kann, die auf Browser-Fingerprinting basieren.’
Sie fahren fort:
‘Leider identifizieren wir ein signifikantes Bedrohungsvehikel gegen solche Verknüpfungsalgorithmen. Insbesondere stellen wir fest, dass ein Angreifer die Browsermerkmale eines Opfers-Browsers erfassen und fälschen kann und daher sein eigenes Browser als Opfer-Browser darstellen kann, wenn er eine Website besucht.’
Die Autoren behaupten, dass die Browser-Fingerprint-Klon-Techniken, die sie entwickelt haben, ‘einen verheerenden und langfristigen Einfluss auf die Online-Privatsphäre und -Sicherheit der Benutzer’ haben.
Bei Tests des Systems gegen zwei Fingerprinting-Systeme, FPStalker und die Electronic Frontier Foundations Panopticlick, fanden die Autoren heraus, dass ihr System in der Lage war, die erfassten Benutzerinformationen erfolgreich nahezu immer zu simulieren, obwohl das System nicht für mehrere Attribute, einschließlich TCP/IP-Stack Fingerprinting, Hardware-Sensoren und DNS-Resolver, berechnet wurde.
Die Autoren behaupten auch, dass das Opfer völlig ahnungslos gegenüber dem Angriff sein wird, was es schwierig macht, ihn zu umgehen.
Methode
Browser-Fingerprinting-Profile werden durch mehrere Faktoren der Konfiguration des Benutzers-Webbrowsers generiert. Ironischerweise können viele der Verteidigungen, die zur Schutz der Privatsphäre entwickelt wurden, einschließlich der Installation von Ad-Blocker-Erweiterungen, tatsächlich ein Browser-Fingerprint unterscheidbarer und leichter zu zielen machen.
Browser-Fingerprinting hängt nicht von Cookies oder Sitzungsdaten ab, sondern bietet eine weitgehend unvermeidbare Momentaufnahme der Benutzersetup für jedes Domain, das der Benutzer besucht, wenn diese Domain so konfiguriert ist, dass sie solche Informationen ausnutzt.
Abgesehen von offensichtlich schädlichen Praktiken wird Fingerprinting typischerweise verwendet, um Anzeigen auf Benutzer zuzuschneiden, für Betrugsbekämpfung und für Benutzer-Authentifizierung (ein Grund, warum das Hinzufügen von Erweiterungen oder das Vornehmen anderer grundlegender Änderungen am Browser dazu führen kann, dass Websites eine erneute Authentifizierung verlangen, basierend auf der Tatsache, dass das Browser-Profil seit dem letzten Besuch geändert wurde).
Die von den Forschern vorgeschlagene Methode erfordert nur, dass das Opfer eine Website besucht, die so konfiguriert ist, dass sie den Browser-Fingerprint des Opfers aufzeichnet – eine Praxis, die eine kürzliche Studie schätzte, dass sie auf mehr als 10% der Top-100.000-Websites vorherrscht und die Teil von Googles Federated Learning of Cohorts (FLOC) ist, dem alternativen Vorschlag des Suchriesen zur cookie-basierten Verfolgung. Es ist auch eine zentrale Technologie in Adtech-Plattformen im Allgemeinen, daher erreicht es viel mehr als die 10% der Websites, die in der oben genannten Studie identifiziert wurden.
Typische Facetten, die aus einem Benutzer-Browser ohne die Notwendigkeit von Cookies extrahiert werden können.
Identifikatoren, die aus einem Benutzerbesuch extrahiert werden können (gesammelt über JavaScript-APIs und HTTP-Header), in ein klonbares Browser-Profil umfassen Spracheinstellungen, Betriebssystem, Browser-Versionen und -Erweiterungen, installierte Plug-ins, Bildschirmauflösung, Hardware, Farbtiefe, Zeitzone, Zeitstempel, installierte Schriftarten, Canvas-Merkmale, User-Agent-Zeichenfolge, HTTP-Anfrage-Header, IP-Adresse und Gerätespracheinstellungen, unter anderem. Ohne Zugriff auf viele dieser Merkmale wäre eine große Menge an allgemein erwarteter Webfunktionalität nicht möglich.
Extraktion von Informationen über Ad-Netzwerk-Antworten
Die Autoren weisen darauf hin, dass Werbedaten über das Opfer leicht durch Imitation seines erfassten Browser-Profils offengelegt werden können und nützlich ausgenutzt werden können:
‘[Wenn] das Browser-Fingerprinting für personalisierte und zielgerichtete Anzeigen eingesetzt wird, würde der Webserver, der eine harmlose Website hostet, dem Angreifer-Browser dieselben oder ähnliche Anzeigen wie diejenigen liefern, die an das Opfer-Browser geliefert würden, da der Webserver den Angreifer-Browser als Opfer-Browser betrachtet. Basierend auf den personalisierten Anzeigen (z. B. im Zusammenhang mit Schwangerschaftsprodukten, Medikamenten und Marken) kann der Angreifer verschiedene sensible Informationen über das Opfer (z. B. Geschlecht, Altersgruppe, Gesundheitszustand, Interessen, Gehaltsniveau usw.) ableiten, sogar ein persönliches Verhaltensprofil des Opfers erstellen.
‘Die Offenlegung solcher persönlicher und privater Informationen kann eine beunruhigende Privatsphäre-Bedrohung für den Benutzer darstellen.’
Da Browser-Fingerabdrücke im Laufe der Zeit ändern, kann das Opfer dazu gebracht werden, die Angriffs-Website erneut zu besuchen, um das geklonte Profil auf dem neuesten Stand zu halten, aber die Autoren behaupten, dass eine einmalige Klonung immer noch überraschend lange wirksame Angriffszeiträume ermöglichen kann.
Benutzer-Authentifizierung-Spoofing
Die Umgehung der Zwei-Faktor-Authentifizierung ist ein Segen für Cyber-Kriminelle. Wie die Autoren des neuen Papiers feststellen, verwenden viele aktuelle Authentifizierungs-(2FA)-Rahmenwerke ein ‘erkanntes’ abgeleitetes Browser-Profil, um das Konto mit dem Benutzer zu verknüpfen. Wenn die Authentifizierungs-Systeme der Website davon überzeugt sind, dass der Benutzer versucht, sich auf einem Gerät anzumelden, das bei der letzten erfolgreichen Anmeldung verwendet wurde, kann es, für die Benutzerfreundlichkeit, keine 2FA verlangen.
Die Autoren stellen fest, dass Oracle, InAuth und SecureAuth IdP alle eine Form dieser ‘Übersprungs-Prüfung’ praktizieren, basierend auf einem Benutzer-Browser-Profil.
Betrugsbekämpfung
Verschiedene Sicherheitsdienste verwenden Browser-Fingerprinting als Werkzeug, um die Wahrscheinlichkeit zu bestimmen, dass ein Benutzer an betrügerischen Aktivitäten beteiligt ist. Die Forscher weisen darauf hin, dass Seon und IPQualityScore zwei solche Unternehmen sind.
Daher ist es durch die vorgeschlagene Methode möglich, den Benutzer entweder ungerechtfertigt als Betrüger zu charakterisieren, indem der ‘Schatten-Profils’ verwendet wird, um die Schwellenwerte solcher Systeme auszulösen, oder den gestohlenen Profils als ‘Bart’ für tatsächliche Versuche von Betrug zu verwenden, um die forensische Analyse des Profils vom Angreifer auf das Opfer umzuleiten.
Drei Angriffsflächen
Das Papier schlägt drei Möglichkeiten vor, wie das Gummy-Browser-System gegen ein Opfer eingesetzt werden kann: Acquire-Once-Spoof-Once beinhaltet die Aneignung der Browser-ID des Opfers zur Unterstützung eines einmaligen Angriffs, wie z. B. einem Versuch, Zugang zu einem geschützten Bereich im Namen des Benutzers zu erlangen. In diesem Fall ist das ‘Alter’ der ID irrelevant, da die Informationen schnell und ohne Nachverfolgung gehandhabt werden.
In einem zweiten Ansatz, Acquire-Once-Spoof-Frequently, versucht der Angreifer, ein Profil des Opfers zu erstellen, indem er beobachtet, wie Webserver auf ihr Profil reagieren (z. B. Ad-Server, die bestimmte Arten von Inhalten liefern, unter der Annahme eines ‘vertrauten’ Benutzers, der bereits ein Browser-Profil mit ihnen verknüpft hat).
Schließlich ist Acquire-Frequently-Spoof-Frequently ein längerfristiger Plan, der darauf abzielt, das Browser-Profil des Opfers regelmäßig zu aktualisieren, indem das Opfer dazu gebracht wird, die Angriffs-Website erneut zu besuchen (die möglicherweise als Nachrichten-Website oder Blog entwickelt wurde). Auf diese Weise kann der Angreifer Betrugsbekämpfungs-Spoofing über einen längeren Zeitraum hinweg ausführen.
Extraktion und Ergebnisse
Die Spoofing-Methoden, die von Gummy Browsers verwendet werden, umfassen Skript-Injektion, die Verwendung der Browser-Einstellungen und -Debugging-Tools sowie Skript-Modifikationen.
Die Merkmale können mit oder ohne JavaScript extrahiert werden. Zum Beispiel können User-Agent-Header (die die Marke des Browsers, wie z. B. Chrome, Firefox usw., identifizieren), aus HTTP-Headern abgeleitet werden, einige der grundlegendsten und nicht blockierbaren Informationen, die für funktionales Web-Browsing erforderlich sind.
Bei Tests des Gummy-Browser-Systems gegen FPStalker und Panopticlick erreichten die Forscher eine durchschnittliche ‘Eigentümerschaft’ (eines angeeigneten Browser-Profils) von mehr als 0,95 über drei Fingerprinting-Algorithmen, was eine funktionierende Kopie der erfassten ID ermöglichte.
Das Papier betont die Notwendigkeit, dass Systemarchitekten nicht auf Browser-Profil-Merkmale als Sicherheitstoken vertrauen sollten und implizit kritisiert einige der größeren Authentifizierungs-Rahmenwerke, die diese Praxis übernommen haben, insbesondere wenn sie als Methode zur Aufrechterhaltung der ‘Benutzerfreundlichkeit’ durch Umgehung oder Aufschiebung der Verwendung von Zwei-Faktor-Authentifizierung verwendet wird.
Die Autoren schließen:
‘Die Auswirkungen von Gummy Browsers können verheerend und langfristig auf die Online-Sicherheit und -Privatsphäre der Benutzer sein, insbesondere angesichts der Tatsache, dass Browser-Fingerprinting beginnt, in der realen Welt weit verbreitet zu werden. Im Lichte dieses Angriffs wirft unsere Arbeit die Frage auf, ob Browser-Fingerprinting sicher auf großem Maßstab einzusetzen ist.’
