La Ciberseguridad
Nuevo ataque 'Clones' y abusos de su identificación en línea única a través de la huella digital del navegador
Los investigadores han desarrollado un método para copiar las características del navegador web de una víctima utilizando técnicas de huellas dactilares del navegador y, a partir de entonces, "suplantar" a la víctima.
La técnica tiene múltiples implicaciones de seguridad: el atacante puede llevar a cabo actividades en línea dañinas o incluso ilegales, con el 'registro' de esas actividades atribuido al usuario; y las defensas de autenticación de dos factores pueden verse comprometidas, porque un sitio de autenticación cree que el usuario ha sido reconocido con éxito, según el perfil de huella digital del navegador robado
Además, el 'clon en la sombra' del atacante puede visitar sitios que cambian el tipo de anuncios entregados a ese perfil de usuario, lo que significa que el usuario comenzará a recibir contenido publicitario no relacionado con sus actividades de navegación reales. Además, el atacante puede inferir mucho sobre la víctima en función de la forma en que otros sitios web (ajenos) responden a la identificación del navegador falsificada.
El se titula Navegadores gomosos: suplantación de identidad de navegador dirigida frente a técnicas de huellas dactilares de última generación, y proviene de investigadores de la Universidad Texas A&M y la Universidad de Florida en Gainesville.
Descripción general de la metodología de Gummy Browsers. Fuente: https://arxiv.org/pdf/2110.10129.pdf
Navegadores gomosos
Los 'navegadores gomosos' del mismo nombre son copias clonadas del navegador de la víctima, llamado así por el ataque 'Gummy Fingers' reportado a principios de la década de 2000, que huellas dactilares reales de la víctima replicada con copias en gelatina para eludir los sistemas de identificación de huellas dactilares.
Los autores declaran:
"El objetivo principal de Gummy Browsers es engañar al servidor web haciéndole creer que un usuario legítimo está accediendo a sus servicios para que pueda obtener información confidencial sobre el usuario (por ejemplo, los intereses del usuario en función de los anuncios personalizados) o eludir varios esquemas de seguridad (p. ej., autenticación y detección de fraude) que se basan en las huellas dactilares del navegador.'
Ellos continuaron:
“Desafortunadamente, identificamos un vector de amenaza significativo contra tales algoritmos de enlace. Específicamente, descubrimos que un atacante puede capturar y suplantar las características del navegador de la víctima y, por lo tanto, puede "presentar" su propio navegador como el navegador de la víctima cuando se conecta a un sitio web.'
Los autores sostienen que las técnicas de clonación de huellas dactilares del navegador que han desarrollado amenazan 'un impacto devastador y duradero en la privacidad y seguridad en línea de los usuarios'.
Al probar el sistema contra dos sistemas de toma de huellas dactilares, FPS acosador y la Electronic Frontier Foundation Panopticlick, los autores descubrieron que su sistema podía simular con éxito la información del usuario capturada casi todo el tiempo, a pesar de que el sistema no tenía en cuenta varios atributos, incluida la pila TCP/IP. toma de huellas dactilares, sensores de hardware y Resolutores de DNS.
Los autores también sostienen que la víctima será completamente ajena al ataque, lo que dificultará su elusión.
Metodología
Huellas digitales del navegador los perfiles son generados por múltiples factores de la forma en que está configurado el navegador web del usuario. Irónicamente, muchas de las defensas diseñadas para proteger la privacidad, incluida la instalación de extensiones de bloqueo de anuncios, en realidad pueden hacer que una huella digital del navegador más distintivo y más fácil de apuntar.
La toma de huellas dactilares del navegador no depende de las cookies o los datos de la sesión, sino que ofrece una en gran parte inevitable instantánea de la configuración del usuario en cualquier dominio que el usuario esté navegando, si ese dominio está configurado para explotar dicha información.
Lejos de las prácticas abiertamente maliciosas, la toma de huellas dactilares se utiliza normalmente para dirigidos anuncios a los usuarios, para detección de fraude, Y para autenticación de usuario (una de las razones por las que agregar extensiones o realizar otros cambios básicos en su navegador puede hacer que los sitios soliciten una nueva autenticación, en función del hecho de que el perfil de su navegador ha cambiado desde su última visita).
El método propuesto por los investigadores solo requiere que la víctima visite un sitio web que está configurado para registrar la huella digital de su navegador, una práctica que un estudio reciente estimado prevalece en más del 10% de los 100,000 principales sitios web, y que Formularios parte del Aprendizaje Federado de Cohortes (FLOC) de Google, la alternativa propuesta por el gigante de las búsquedas al seguimiento basado en cookies. También es un tecnología central en plataformas adtech en general, alcanzando así mucho más del 10% de los sitios identificados en el estudio mencionado.
Facetas típicas que se pueden extraer del navegador de un usuario sin necesidad de cookies.
Los identificadores que se pueden extraer de la visita de un usuario (recopilados a través de API de JavaScript y encabezados HTTP) en un perfil de navegador clonable incluyen configuraciones de idioma, sistema operativo, versiones y extensiones del navegador, complementos instalados, resolución de pantalla, hardware, profundidad de color, zona horaria, marcas de tiempo , fuentes instaladas, características del lienzo, cadena de agente de usuario, encabezados de solicitud HTTP, dirección IP y configuración de idioma del dispositivo, entre otros. Sin acceso a muchas de estas características, gran parte de la funcionalidad web comúnmente esperada no sería posible.
Extracción de información a través de las respuestas de la red publicitaria
Los autores señalan que los datos publicitarios sobre la víctima son bastante fáciles de exponer haciéndose pasar por su perfil de navegador capturado y pueden ser útilmente explotado:
'[Si] la toma de huellas dactilares del navegador se emplea para anuncios personalizados y dirigidos, el servidor web, que aloja un sitio web benigno, enviaría los mismos anuncios o anuncios similares al navegador del atacante, como los que se habrían enviado al navegador de la víctima porque la web El servidor considera el navegador del atacante como el navegador de la víctima. Con base en los anuncios personalizados (p. ej., relacionados con productos para el embarazo, medicamentos y marcas), el atacante puede inferir diversa información confidencial sobre la víctima (p. ej., sexo, grupo de edad, estado de salud, intereses, nivel salarial, etc.), incluso construir una perfil personal de comportamiento de la víctima.
"La filtración de dicha información personal y privada puede plantear una terrible amenaza para la privacidad del usuario".
Dado que las huellas dactilares del navegador cambian con el tiempo, mantener al usuario regresando al sitio del ataque mantendrá actualizado el perfil clonado, pero los autores sostienen que una sola clonación aún puede permitir períodos de ataque sorprendentemente efectivos a largo plazo.
Falsificación de autenticación de usuario
Lograr que un sistema de autenticación evite la autenticación de dos factores es una bendición para los ciberdelincuentes. Como los autores de la nueva nota en papel, muchos marcos de autenticación actuales (2FA) utilizan un perfil de navegador inferido 'reconocido' para asociar la cuenta con el usuario. Si los sistemas de autenticación del sitio están satisfechos de que el usuario está intentando iniciar sesión en un dispositivo que se utilizó en el último inicio de sesión exitoso, es posible que, para comodidad del usuario, no exija 2FA.
Los autores observan que Oracle, En autenticación y Proveedor de identidad SecureAuth todos practican alguna forma de este 'salto de verificación', basado en el perfil de navegador registrado de un usuario.
Detección de fraude
Varios servicios de seguridad utilizan las huellas dactilares del navegador como una herramienta para determinar la probabilidad de que un usuario participe en actividades fraudulentas. Los investigadores señalan que Seon y Puntuación de calidad de IP son dos de esas empresas.
Por lo tanto, es posible, a través de la metodología propuesta, caracterizar injustamente al usuario como un fraude al usar el 'perfil en la sombra' para activar los umbrales de tales sistemas, o bien usar el perfil robado como una 'barba' para intentos genuinos de fraude. , desviando el análisis forense del perfil lejos del atacante y hacia la víctima.
Tres superficies de ataque
El documento propone tres formas en que el sistema Gummy Browser podría usarse contra una víctima: Adquirir-Once-Spoof-Once implica apropiarse de la identificación del navegador de la víctima para respaldar un ataque único, como un intento de obtener acceso a un dominio protegido bajo la apariencia del usuario. En este caso, la 'edad' del DNI es irrelevante, ya que se actúa sobre la información de forma rápida y sin seguimiento.
En un segundo enfoque, Adquirir-Una vez-Spoof-Frecuentemente, el atacante busca desarrollar un perfil de la víctima observando cómo los servidores web responden a su perfil (es decir, servidores de anuncios que entregan tipos específicos de contenido asumiendo que es un usuario 'familiar' que ya tiene un perfil de navegador asociado) .
Finalmente, Adquirir-Frecuentemente-Spoof-Frecuentemente es una estratagema a más largo plazo diseñada para actualizar regularmente el perfil del navegador de la víctima haciendo que la víctima repita su visita al sitio de exfiltración inocuo (que puede haber sido desarrollado como un sitio de noticias o un blog, por ejemplo). De esta forma, el atacante puede ejecutar la suplantación de detección de fraude durante un período de tiempo más largo.
Extracción y Resultados
Los métodos de suplantación de identidad utilizados por Gummy Browsers incluyen la inyección de secuencias de comandos, el uso de las herramientas de configuración y depuración del navegador y la modificación de secuencias de comandos.
Las características se pueden filtrar con o sin JavaScript. Por ejemplo, los encabezados de agente de usuario (que identifican la marca del navegador, como Chrome, Firefox, et al.), se puede derivar de encabezados HTTP, parte de la información más básica y no bloqueable que es necesaria para una navegación web funcional.
Al probar el sistema Gummy Browser contra FPStalker y Panopticlick, los investigadores lograron una 'propiedad' promedio (de un perfil de navegador apropiado) de más de 0.95 a través de tres algoritmos de huellas dactilares, logrando un clon viable de la identificación capturada.
El documento enfatiza la necesidad de que los arquitectos de sistemas no confíen en las características del perfil del navegador como un token de seguridad y critica implícitamente algunos de los marcos de autenticación más grandes que han adoptado esta práctica, especialmente donde se utiliza como un método para mantener la 'facilidad de uso' por obviando o aplazando el uso de la autenticación de dos factores.
Los autores concluyen:
“El impacto de los navegadores Gummy puede ser devastador y duradero en la seguridad y privacidad en línea de los usuarios, especialmente dado que las huellas dactilares del navegador están comenzando a ser ampliamente adoptadas en el mundo real. A la luz de este ataque, nuestro trabajo plantea la cuestión de si la toma de huellas dactilares del navegador es segura para implementar a gran escala.
