Κυβερνοασφάλεια
Νέα Επίθεση ‘Κλώνει’ και Καταχράζεται το Μοναδικό Online ID σας μέσω Browser Fingerprinting
Οι ερευνητές έχουν αναπτύξει μια μέθοδο για να αντιγράψουν τα χαρακτηριστικά του προγράμματος περιήγησης του θύματος χρησιμοποιώντας τεχνικές browser fingerprinting, και στη συνέχεια να «προσποιηθούν» το θύμα.
Η τεχνική έχει πολλαπλά ασφαλειολογικά επιπτώσεις: ο επιτιθέμενος μπορεί να εκτελέσει βλαβερές ή ακόμη και παράνομες διαδικτυακές δραστηριότητες, με το «ρεκόρ» αυτών των δραστηριοτήτων να αποδίδεται στο χρήστη· και οι άμυνες δύο παραγόντων αυθεντικοποίησης μπορούν να υποκλαπεί, επειδή ένας ιστότοπος αυθεντικοποίησης πιστεύει ότι ο χρήστης έχει αναγνωριστεί επιτυχώς, με βάση το κλεμμένο προφίλ browser fingerprint.
Επιπλέον, ο «σκοτεινός κλώνος» του επιτιθέμενου μπορεί να επισκεφθεί ιστότοπους που αλλάζουν τον τύπο των διαφημίσεων που παραδίδονται σε αυτό το προφίλ χρήστη, που σημαίνει ότι ο χρήστης θα αρχίσει να λαμβάνει διαφημιστικό περιεχόμενο που δεν σχετίζεται με τις πραγματικές δραστηριότητες περιήγησής του. Επιπλέον, ο επιτιθέμενος μπορεί να συναγάγει πολλά για το θύμα με βάση τον τρόπο με τον οποίο οι άλλοι (αγνοούμενοι) ιστότοποι ανταποκρίνονται στο προφίλ browser ID.
Το έγγραφο έχει τον τίτλο Gummy Browsers: Targeted Browser Spoofing against State-of-the-Art Fingerprinting Techniques, και προέρχεται από ερευνητές στο Texas A&M University και το Πανεπιστήμιο της Φλόριντα στο Gainesville.
Επισκόπηση της μεθοδολογίας Gummy Browsers. Source: https://arxiv.org/pdf/2110.10129.pdf
Gummy Browsers
Οι ομώνυμοι «γουμιένιες προγράμματα περιήγησης» είναι κλώνοι του προγράμματος περιήγησης του θύματος, που ονομάστηκαν μετά την επίθεση «Gummy Fingers» στις αρχές της δεκαετίας του 2000, η οποία αντέγραψε τα δακτυλικά αποτυπώματα του θύματος με γελατινώδεις αντίγραφα για να παραβιάσει τα συστήματα αναγνώρισης δακτυλικών αποτυπωμάτων.
Οι συγγραφείς δηλώνουν:
‘Ο κύριος στόχος των Gummy Browsers είναι να εξαπατήσουν τον διακομιστή ιστού να πιστεύει ότι ένας νόμιμος χρήστης πρόσβαλλε τις υπηρεσίες του, ώστε να μπορεί να μάθει ευαίσθητες πληροφορίες για τον χρήστη (π.χ. ενδιαφέροντα του χρήστη με βάση τις προσωποποιημένες διαφημίσεις), ή να παραβιάσει διάφορα ασφαλειολογικά σχήματα (π.χ. αυθεντικοποίηση και ανίχνευση απάτης) που βασίζονται στη δακτυλική αποτύπωση του προγράμματος περιήγησης.’
Συνεχίζουν:
‘Δυστυχώς, αναγνωρίζουμε einen σημαντικό διανυσματικό κίνδυνο κατά των αλγορίθμων σύνδεσης. Συγκεκριμένα, βρήκαμε ότι ένας επιτιθέμενος μπορεί να καταγράψει και να καταχράστεί τα χαρακτηριστικά του προγράμματος περιήγησης του θύματος και, επομένως, μπορεί να «παρουσιάσει» το δικό του πρόγραμμα περιήγησης ως το πρόγραμμα περιήγησης του θύματος όταν συνδέεται σε einen ιστότοπο.’
Οι συγγραφείς υποστηρίζουν ότι οι τεχνικές κλωνοποίησης δακτυλικών αποτυπωμάτων του προγράμματος περιήγησης που έχουν αναπτύξει απειλούν ‘μια καταστροφική και μακροχρόνια επίδραση στην διαδικτυακή ιδιωτικότητα και ασφάλεια των χρηστών’.
Σε δοκιμές του συστήματος κατά δύο συστημάτων δακτυλικής αποτύπωσης, FPStalker και Panopticlick, οι συγγραφείς βρήκαν ότι το σύστημά τους ήταν σε θέση να προσομοιώσει με επιτυχία τις πληροφορίες του χρήστη σχεδόν κάθε φορά, παρά το γεγονός ότι το σύστημα δεν έλαβε υπόψη του διάφορα χαρακτηριστικά, συμπεριλαμβανομένων των TCP/IP stack δακτυλικής αποτύπωσης, αποτυπωμάτων υλικού και αποτυπωμάτων DNS.
Οι συγγραφείς υποστηρίζουν επίσης ότι το θύμα θα είναι πλήρως αγνοούμενο στην επίθεση, καθιστώντας δύσκολο να την αποφύγει.
Μεθοδολογία
Δακτυλική αποτύπωση του προγράμματος περιήγησης δημιουργείται από πολλαπλά χαρακτηριστικά του τρόπου με τον οποίο το πρόγραμμα περιήγησης του χρήστη είναι ρυθμισμένο. Παρόδοξα, πολλές από τις άμυνες που σχεδιάστηκαν για την προστασία της ιδιωτικότητας, συμπεριλαμβανομένης της εγκατάστασης επεκτάσεων αποκλεισμού διαφημίσεων, μπορούν στην πραγματικότητα να κάνουν τη δακτυλική αποτύπωση του προγράμματος περιήγησης περισσότερο διακριτή και εύκολη στο στόχο.
Η δακτυλική αποτύπωση του προγράμματος περιήγησης δεν εξαρτάται από cookies ή δεδομένα συνόδου, αλλά προσφέρει μια σε μεγάλο βαθμό απαραίτητη εικόνα της ρύθμισης του χρήστη σε οποιοδήποτε домένιο που ο χρήστης περιηγείται, εάν το домένιο είναι ρυθμισμένο να εκμεταλλευτεί τέτοιες πληροφορίες.
Μακριά από τις φανερά κακόβουλες πρακτικές, η δακτυλική αποτύπωση χρησιμοποιείται συνήθως για να στοχεύει διαφημίσεις στους χρήστες, για ανίχνευση απάτης και για αυθεντικοποίηση χρήστη (ένας λόγος για τον οποίο η προσθήκη επεκτάσεων ή η πραγματοποίηση άλλων βασικών αλλαγών στο πρόγραμμα περιήγησής σας μπορεί να προκαλέσει τους ιστότοπους να απαιτούν ξανά-αυθεντικοποίηση, με βάση το γεγονός ότι το προφίλ του προγράμματος περιήγησής σας έχει αλλάξει από την τελευταία σας επίσκεψη).
Η μέθοδος που προτείνουν οι ερευνητές απαιτεί μόνο από το θύμα να επισκεφθεί einen ιστότοπο που είναι ρυθμισμένος να καταγράψει τη δακτυλική αποτύπωση του προγράμματος περιήγησής του – μια πρακτική που μια πρόσφατη μελέτη εκτίμησε ότι είναι διαδεδομένη σε περισσότερο από 10% των κορυφαίων 100.000 ιστότοπων, και η οποία формируется μέρος του Federated Learning of Cohorts (FLOC) της Google, της προτεινόμενης εναλλακτικής λύσης για την παρακολούθηση με βάση τα cookies. Είναι επίσης κεντρική τεχνολογία στις πλατφόρμες adtech γενικά, επομένως φθάνει πολύ περισσότερο από το 10% των ιστότοπων που αναφέρθηκαν στην ανωτέρω μελέτη.
Τυπικά χαρακτηριστικά που μπορούν να εξαχθούν από το πρόγραμμα περιήγησης του χρήστη χωρίς την ανάγκη cookies.
Ταυτοποιητές που μπορούν να εξαχθούν από μια επίσκεψη χρήστη (συλλεγμένα μέσω JavaScript APIs και HTTP headers) σε ένα προφίλ προγράμματος περιήγησης που μπορεί να κλονηθεί περιλαμβάνουν ρυθμίσεις γλώσσας, λειτουργικό σύστημα, εκδόσεις και επεκτάσεις προγράμματος περιήγησης, εγκατεστημένα πρόσθετα, ανάλυση οθόνης, υλικό, βάθος χρώματος, ζώνη ώρας, timestamps, εγκατεστημένα γράμματα, χαρακτηριστικά καμβά, συμβολοσειρά χρήστη-πράκτορα, κεφαλίδες αιτήματος HTTP, διεύθυνση IP και ρυθμίσεις γλώσσας συσκευής, μεταξύ άλλων. Χωρίς πρόσβαση σε πολλά από αυτά τα χαρακτηριστικά, μια μεγάλη ποσότητα κοινούmente αναμενόμενης λειτουργικότητας ιστού δεν θα ήταν δυνατή.
Εξαγωγή Πληροφοριών Μέσω Απαντήσεων Δικτύου Διαφημίσεων
Οι συγγραφείς σημειώνουν ότι τα δεδομένα διαφημίσεων για το θύμα είναι khá εύκολο να εκτεθούν με την προσωποποίηση του προφίλ browser ID, και μπορούν να χρησιμοποιηθούν:
‘[Εάν] η δακτυλική αποτύπωση του προγράμματος περιήγησης χρησιμοποιείται για προσωποποιημένες και στοχευμένες διαφημίσεις, ο διακομιστής ιστού, που φιλοξενεί έναν αθώο ιστότοπο, θα προωθήσει τις ίδιες ή παρόμοιες διαφημίσεις στο πρόγραμμα περιήγησης του επιτιθέμενου όπως αυτές που θα είχαν προωθηθεί στο πρόγραμμα περιήγησης του θύματος, επειδή ο διακομιστής ιστού θεωρεί το πρόγραμμα περιήγησης του επιτιθέμενου ως το πρόγραμμα περιήγησης του θύματος. Με βάση τις προσωποποιημένες διαφημίσεις (π.χ. σχετικές με προϊόντα εγκυμοσύνης, φάρμακα και εμπορικά σήματα), ο επιτιθέμενος μπορεί να συναγάγει διάφορες ευαίσθητες πληροφορίες για το θύμα (π.χ. φύλο, ηλικιακή ομάδα, κατάσταση υγείας, ενδιαφέροντα, επίπεδο μισθού, κ.λπ.), ακόμη και να δημιουργήσει ένα προφίλ συμπεριφοράς του θύματος.
‘Η διαρροή τέτοιων προσωπικών και ιδιωτικών πληροφοριών μπορεί να προκαλέσει μια φρικτή απειλή για την ιδιωτικότητα του χρήστη.’
Καθώς οι δακτυλικές αποτυπώσεις του προγράμματος περιήγησης αλλάζουν με την πάροδο του χρόνου, η διατήρηση του χρήστη που επιστρέφει στην τοποθεσία της επίθεσης θα διατηρήσει το κλωνοποιημένο προφίλ ενημερωμένο, αλλά οι συγγραφείς υποστηρίζουν ότι μια μοναδική κλωνοποίηση μπορεί ακόμη να επιτρέψει आशχαρακτικά αποτελεσματικές περιόδους επίθεσης.
Αυθεντικοποίηση Χρήστη Spoofing
Η απόκτηση ενός συστήματος αυθεντικοποίησης για να αποφύγει την αυθεντικοποίηση δύο παραγόντων είναι ένα πλεονέκτημα για τους κυβερνοεγκληματίες. Όπως σημειώνουν οι συγγραφείς του νέου εγγράφου, πολλά τρέχοντα πλαισιά αυθεντικοποίησης (2FA) χρησιμοποιούν ένα «αναγνωρισμένο» υποτιθέμενο προφίλ προγράμματος περιήγησης για να συνδέσουν το λογαριασμό με τον χρήστη. Εάν ο ιστότοπος αυθεντικοποίησης είναι ικανοποιημένος ότι ο χρήστης προσπαθεί να συνδεθεί σε μια συσκευή που χρησιμοποιήθηκε στην τελευταία επιτυχημένη σύνδεση, μπορεί, για την άνεση του χρήστη, να μην απαιτήσει 2FA.
Οι συγγραφείς παρατηρούν ότι Oracle, InAuth και SecureAuth IdP όλες ασκούν κάποια μορφή αυτής της «αποφυγής ελέγχου», με βάση το προφίλ browser ID του χρήστη.
Ανίχνευση Απάτης
Διάφορες υπηρεσίες ασφαλείας χρησιμοποιούν τη δακτυλική αποτύπωση του προγράμματος περιήγησης ως εργαλείο για να καθορίσουν την πιθανότητα ότι ένας χρήστης εμπλέκεται σε απάτη. Οι ερευνητές σημειώνουν ότι Seon και IPQualityScore είναι δύο τέτοιες εταιρείες.
Επομένως, είναι δυνατό, μέσω της προτεινόμενης μεθοδολογίας, είτε να χαρακτηριστεί άδικα ο χρήστης ως απάτης χρησιμοποιώντας το «σκοτεινό προφίλ» για να ενεργοποιήσει τα όρια τέτοιων συστημάτων, είτε να χρησιμοποιηθεί το κλεμμένο προφίλ ως «γένι» για πραγματικές προσπάθειες απάτης, απομακρύνοντας την ανάλυση του προφίλ μακριά από τον επιτιθέμενο και προς το θύμα.
Τρεις Επιφάνειες Επίθεσης
Το έγγραφο προτείνει τρεις τρόπους με τους οποίους το σύστημα Gummy Browser μπορεί να χρησιμοποιηθεί κατά του θύματος: Acquire-Once-Spoof-Once περιλαμβάνει την απόκτηση του browser ID του θύματος για την υποστήριξη μιας μοναδικής επίθεσης, όπως μια προσπάθεια να αποκτήσει πρόσβαση σε einen προστατευμένο домένιο με την εμφάνιση του χρήστη. Σε αυτή την περίπτωση, η «ηλικία» του ID είναι αδιάφορο, επειδή οι πληροφορίες ενεργοποιούνται γρήγορα και χωρίς follow-up.
Σε μια δεύτερη προσέγγιση, Acquire-Once-Spoof-Frequently, ο επιτιθέμενος επιδιώκει να αναπτύξει ένα προφίλ του θύματος παρατηρώντας τον τρόπο με τον οποίο οι διακομιστές ιστού ανταποκρίνονται στο προφίλ τους (π.χ. διακομιστές διαφημίσεων που παραδίδουν συγκεκριμένα είδη περιεχομένου με την υπόθεση ενός «οικείου» χρήστη που ήδη έχει ένα προφίλ προγράμματος περιήγησης που σχετίζεται με αυτούς).
Τέλος, Acquire-Frequently-Spoof-Frequently είναι ένα μακροπρόθεσμο σχέδιο που σχεδιαστεί για να ενημερώσει τακτικά το προφίλ browser του θύματος με την επαναλαμβανόμενη επίσκεψη του θύματος στην αθώα τοποθεσία εξαγωγής (η οποία μπορεί να έχει αναπτυχθεί ως ιστότοπος ειδήσεων ή ιστολογίου, για παράδειγμα). Με αυτόν τον τρόπο, ο επιτιθέμενος μπορεί να εκτελέσει ανίχνευση απάτης spoofing για μεγαλύτερο χρονικό διάστημα.
Εξαγωγή και Αποτελέσματα
Οι μεθόδους spoofing που χρησιμοποιούνται από τα Gummy Browsers περιλαμβάνουν ένεση κώδικα, χρήση των ρυθμίσεων και εργαλείων αποσφαλμάτωσης του προγράμματος περιήγησης, και τροποποίηση κώδικα.
Τα χαρακτηριστικά μπορούν να εξαχθούν με ή χωρίς JavaScript. Για παράδειγμα, κεφαλίδες user-agent (οι οποίες αναγνωρίζουν το εμπορικό σήμα του προγράμματος περιήγησης, όπως Chrome, Firefox, κ.λπ.), μπορούν να εξαχθούν από κεφαλίδες HTTP, κάποιες από τις πιο βασικές και μη αποκλειστές πληροφορίες που είναι απαραίτητες για τη λειτουργική περιήγηση ιστού.
Σε δοκιμές του συστήματος Gummy Browser κατά των FPStalker και Panopticlick, οι ερευνητές πέτυχαν ένα μέσο «ιδιοκτησιακό» (ενός κλονοποιημένου προφίλ browser) που υπερβαίνει το 0,95 σε τρεις αλγορίθμους δακτυλικής αποτύπωσης, επιφέροντας μια λειτουργική κλωνοποίηση του κατεχόμενο ID.
Το έγγραφο τονίζει την ανάγκη για τους αρχιτέκτονες συστημάτων να μην βασίζονται στα χαρακτηριστικά του προφίλ browser ως ασφαλή token, και 암υδρά κριτικάρει κάποια από τα μεγαλύτερα πλαισιά αυθεντικοποίησης που έχουν υιοθετήσει αυτή την πρακτική, ιδιαίτερα όταν χρησιμοποιείται ως μέθοδος διατήρησης «ευχρηστίας» με την αποφυγή ή την αναβολή της χρήσης αυθεντικοποίησης δύο παραγόντων.
Οι συγγραφείς καταλήγουν:
‘Η επίδραση των Gummy Browsers μπορεί να είναι καταστροφική και μακροχρόνια στην διαδικτυακή ασφάλεια και ιδιωτικότητα των χρηστών, ιδιαίτερα δεδομένου ότι η δακτυλική αποτύπωση του προγράμματος περιήγησης αρχίζει να γίνεται ευρέως αποδεκτή στον πραγματικό κόσμο. Στο φως αυτής της επίθεσης, η εργασία μας θέτει το ερώτημα εάν η δακτυλική αποτύπωση του προγράμματος περιήγησης είναι ασφαλής για ανάπτυξη σε μεγάλη κλίμακα.’
