Ciberseguridad
Nuevo ataque 'Clones' y abusos de su identificación en línea única a través de la huella digital del navegador
Los investigadores han desarrollado un método para copiar las características del navegador web de una víctima utilizando técnicas de huellas dactilares del navegador y luego "hacerse pasar" por la víctima.
La técnica tiene múltiples implicaciones de seguridad: el atacante puede llevar a cabo actividades en línea dañinas o incluso ilegales, con el "registro" de esas actividades atribuido al usuario; y las defensas de autenticación de dos factores pueden verse comprometidas, porque un sitio de autenticación cree que el usuario ha sido reconocido con éxito, basándose en el perfil de huella digital del navegador robado.
Además, el clon oculto del atacante puede visitar sitios que modifican el tipo de anuncios que se muestran a ese perfil de usuario, lo que significa que este empezará a recibir contenido publicitario no relacionado con su actividad de navegación. Además, el atacante puede inferir información importante sobre la víctima basándose en cómo otros sitios web (ajenos a su información) responden al ID de navegador falsificado.
La se titula Navegadores gomosos: suplantación de identidad de navegador dirigida frente a técnicas de huellas dactilares de última generación, y proviene de investigadores de la Universidad Texas A&M y la Universidad de Florida en Gainesville.
Descripción general de la metodología de Gummy Browsers. Fuente: https://arxiv.org/pdf/2110.10129.pdf
Navegadores gomosos
Los navegadores epónimos 'gummy browsers' son copias clonadas del navegador víctima, llamado así por el ataque 'Gummy Fingers' reportado a principios de la década de 2000, que huellas dactilares reales de la víctima replicadas con copias en gelatina para eludir los sistemas de identificación de huellas dactilares.
Los autores declaran:
'El objetivo principal de Gummy Browsers es engañar al servidor web para que crea que un usuario legítimo está accediendo a sus servicios para que pueda obtener información confidencial sobre el usuario (por ejemplo, intereses del usuario basados en anuncios personalizados) o eludir varios esquemas de seguridad (por ejemplo, autenticación y detección de fraude) que se basan en la toma de huellas dactilares del navegador.'
Ellos continuaron:
Desafortunadamente, identificamos un importante vector de amenaza contra estos algoritmos de enlace. En concreto, descubrimos que un atacante puede capturar y falsificar las características del navegador de la víctima y, por lo tanto, presentar su propio navegador como el de la víctima al conectarse a un sitio web.
Los autores sostienen que las técnicas de clonación de huellas dactilares del navegador que han desarrollado amenazan 'un impacto devastador y duradero en la privacidad y seguridad en línea de los usuarios'.
Al probar el sistema contra dos sistemas de toma de huellas dactilares, FPS acosador y la Fundación Frontera Electrónica Panopticlick, los autores descubrieron que su sistema podía simular con éxito la información del usuario capturada casi todo el tiempo, a pesar de que el sistema no tenía en cuenta varios atributos, incluida la pila TCP/IP. toma de huellas dactilares, sensores de hardware y Resolutores de DNS.
Los autores también sostienen que la víctima será completamente ajena al ataque, lo que dificultará su elusión.
Metodología
Huellas digitales del navegador Los perfiles se generan por múltiples factores relacionados con la configuración del navegador web del usuario. Irónicamente, muchas de las defensas diseñadas para proteger la privacidad, como la instalación de extensiones de bloqueo de anuncios, pueden generar una huella digital del navegador. más distintivo y más fácil de apuntar.
La toma de huellas dactilares del navegador no depende de las cookies o los datos de la sesión, sino que ofrece una en gran parte inevitable instantánea de la configuración del usuario en cualquier dominio que el usuario esté navegando, si ese dominio está configurado para explotar dicha información.
Más allá de las prácticas abiertamente maliciosas, la toma de huellas digitales se utiliza generalmente para orientar los anuncios a los usuarios, por ejemplo: detección de fraudey para autenticación de usuario (una de las razones por las que agregar extensiones o realizar otros cambios básicos en su navegador puede hacer que los sitios soliciten una nueva autenticación, en función del hecho de que el perfil de su navegador ha cambiado desde su última visita).
El método propuesto por los investigadores solo requiere que la víctima visite un sitio web que esté configurado para registrar la huella digital de su navegador, una práctica que un estudio reciente estimación de prevalece en más del 10% de los 100,000 principales sitios web, y que Formularios Parte del Aprendizaje Federado de Cohortes (FLOC) de Google, la alternativa propuesta por el gigante de las búsquedas al seguimiento basado en cookies. También es una tecnología central en plataformas adtech en general, alcanzando así mucho más del 10% de los sitios identificados en el estudio mencionado.
Facetas típicas que se pueden extraer del navegador de un usuario sin necesidad de cookies.
Los identificadores que se pueden extraer de la visita de un usuario (recopilados a través de API de JavaScript y encabezados HTTP) en un perfil de navegador clonable incluyen configuraciones de idioma, sistema operativo, versiones y extensiones del navegador, complementos instalados, resolución de pantalla, hardware, profundidad de color, zona horaria, marcas de tiempo , fuentes instaladas, características del lienzo, cadena de agente de usuario, encabezados de solicitud HTTP, dirección IP y configuración de idioma del dispositivo, entre otros. Sin acceso a muchas de estas características, gran parte de la funcionalidad web comúnmente esperada no sería posible.
Extracción de información a través de las respuestas de la red publicitaria
Los autores señalan que los datos publicitarios sobre la víctima son bastante fáciles de exponer haciéndose pasar por su perfil de navegador capturado y pueden ser útilmente explotado:
'[Si] la toma de huellas dactilares del navegador se emplea para anuncios personalizados y dirigidos, el servidor web, que aloja un sitio web benigno, enviaría los mismos anuncios o anuncios similares al navegador del atacante, como los que se habrían enviado al navegador de la víctima porque la web El servidor considera el navegador del atacante como el navegador de la víctima. Con base en los anuncios personalizados (p. ej., relacionados con productos para el embarazo, medicamentos y marcas), el atacante puede inferir diversa información confidencial sobre la víctima (p. ej., sexo, grupo de edad, estado de salud, intereses, nivel salarial, etc.), incluso construir una perfil personal de comportamiento de la víctima.
“La filtración de dicha información personal y privada puede suponer una terrible amenaza para la privacidad del usuario”.
Dado que las huellas dactilares del navegador cambian con el tiempo, mantener al usuario regresando al sitio del ataque mantendrá actualizado el perfil clonado, pero los autores sostienen que una sola clonación aún puede permitir períodos de ataque sorprendentemente efectivos a largo plazo.
Falsificación de autenticación de usuario
Conseguir que un sistema de autenticación evite la autenticación de dos factores es una ventaja para los ciberdelincuentes. Como señalan los autores del nuevo artículo, muchos marcos de autenticación actuales (2FA) utilizan un perfil de navegador inferido y reconocido para asociar la cuenta con el usuario. Si los sistemas de autenticación del sitio web comprueban que el usuario intenta iniciar sesión en el mismo dispositivo que el utilizado en el último inicio de sesión exitoso, podría, para mayor comodidad del usuario, no exigir la 2FA.
Los autores observan que el , En autenticación y Proveedor de identidad SecureAuth Todos practican alguna forma de este 'salto de comprobaciones', en función del perfil del navegador registrado del usuario.
Detección de fraude
Varios servicios de seguridad utilizan las huellas dactilares del navegador como una herramienta para determinar la probabilidad de que un usuario participe en actividades fraudulentas. Los investigadores señalan que Seon y Puntuación de calidad de IP son dos de esas empresas.
De esta forma, es posible a través de la metodología propuesta caracterizar injustamente al usuario como un fraude usando el "perfil sombra" para activar los umbrales de dichos sistemas, o bien usar el perfil robado como una "barba" para intentos genuinos de fraude, desviando el análisis forense del perfil del atacante y acercándolo a la víctima.
Tres superficies de ataque
El documento propone tres formas en que el sistema Gummy Browser podría usarse contra una víctima: Adquirir-Once-Spoof-Once Implica apropiarse del ID del navegador de la víctima para un ataque único, como intentar acceder a un dominio protegido haciéndose pasar por el usuario. En este caso, la antigüedad del ID es irrelevante, ya que se procesa la información rápidamente y sin seguimiento.
En un segundo enfoque, Adquirir-Una vez-Spoof-FrecuentementeEl atacante busca desarrollar un perfil de la víctima observando cómo los servidores web responden a su perfil (es decir, servidores de anuncios que ofrecen tipos específicos de contenido asumiendo que se trata de un usuario "familiar" que ya tiene un perfil de navegador asociado).
Finalmente, Adquirir-Frecuentemente-Spoof-Frecuentemente Es una estrategia a largo plazo diseñada para actualizar periódicamente el perfil del navegador de la víctima, haciéndole repetir la visita al sitio de exfiltración inocuo (que podría haberse desarrollado como un sitio de noticias o un blog, por ejemplo). De esta forma, el atacante puede suplantar la identidad de la detección de fraude durante un período más largo.
Extracción y Resultados
Los métodos de suplantación utilizados por Gummy Browsers incluyen la inyección de scripts, el uso de las herramientas de configuración y depuración del navegador y la modificación de scripts.
Las características se pueden filtrar con o sin JavaScript. Por ejemplo, los encabezados de agente de usuario (que identifican la marca del navegador, como Chrome, Firefox, et al.), pueden derivarse de los encabezados HTTP, parte de la información más básica y no bloqueable que es necesaria para la navegación web funcional.
Al probar el sistema Gummy Browser contra FPStalker y Panopticlick, los investigadores lograron una "propiedad" promedio (de un perfil de navegador apropiado) de más de 0.95 en tres algoritmos de huellas digitales, lo que generó un clon funcional de la identificación capturada.
El documento enfatiza la necesidad de que los arquitectos de sistemas no confíen en las características del perfil del navegador como un token de seguridad, y critica implícitamente algunos de los marcos de autenticación más grandes que han adoptado esta práctica, especialmente cuando se utiliza como un método para mantener la "facilidad de uso" al obviar o diferir el uso de la autenticación de dos factores.
Los autores concluyen:
El impacto de los navegadores Gummy puede ser devastador y duradero para la seguridad y privacidad en línea de los usuarios, especialmente considerando que la huella digital del navegador se está generalizando en el mundo real. Ante este ataque, nuestro trabajo plantea la cuestión de si es seguro implementar la huella digital del navegador a gran escala.
