Kyberturvallisuus
Uusia hyökkäyksiä "klooneja" ja väärinkäyttää ainutlaatuista online-tunnustasi selaimen sormenjälkien avulla
Tutkijat ovat kehittäneet menetelmän uhrin verkkoselaimen ominaisuuksien kopioimiseksi selaimen sormenjälkitekniikoiden avulla ja sen jälkeen "aiemoimaan" uhria.
Tekniikalla on useita turvallisuusvaikutuksia: hyökkääjä voi suorittaa vahingollisia tai jopa laittomia toimia verkossa, ja näiden toimien "rekisteri" liitetään käyttäjään; ja kaksivaiheisen todennuksen puolustusjärjestelmät voivat vaarantua, koska todentava sivusto uskoo, että käyttäjä on tunnistettu onnistuneesti varastetun selaimen sormenjälkiprofiilin perusteella.
Lisäksi hyökkääjän "varjoklooni" voi vierailla sivustoilla, jotka muuttavat käyttäjäprofiilille näytettävien mainosten tyyppiä, mikä tarkoittaa, että käyttäjä alkaa saada mainossisältöä, joka ei liity hänen varsinaiseen selaustoimintaansa. Hyökkääjä voi myös päätellä paljon uhrista sen perusteella, miten muut (tietämättömät) verkkosivustot reagoivat väärennettyyn selaintunnukseen.
- paperi on otsikko Gummy-selaimet: kohdistettu selaimen huijaus huippumodernia sormenjälkitekniikkaa vastaan, ja se tulee Texas A&M -yliopiston ja Floridan yliopiston Gainesvillessä tutkijoilta.
Yleiskatsaus Gummy Browsers -metodologiaan. Lähde: https://arxiv.org/pdf/2110.10129.pdf
Kumimaiset selaimet
Samannimiset ”Gummy Browsers” -selaimet ovat kloonattuja kopioita uhriselaimesta, ja ne on nimetty 2000-luvun alussa raportoidun ”Gummy Fingers” -hyökkäyksen mukaan. uhrin oikeiden sormenjälkien kopiointi gelatiinikopioilla sormenjälkitunnistusjärjestelmien ohittamiseksi.
Kirjoittajat toteavat:
Gummy Browserin päätavoitteena on huijata verkkopalvelinta uskomaan, että laillinen käyttäjä käyttää sen palveluita, jotta se voi oppia käyttäjästä arkaluontoisia tietoja (esim. käyttäjän kiinnostuksen kohteet personoitujen mainosten perusteella) tai kiertää erilaisia turvajärjestelmiä (esim. todennus ja petosten havaitseminen), jotka perustuvat selaimen sormenjälkiin.
He jatkavat:
"Valitettavasti tunnistamme merkittävän uhkavektorin tällaisia linkitysalgoritmeja vastaan. Tarkemmin sanottuna havaitsemme, että hyökkääjä voi tallentaa ja väärentää uhrin selaimen ominaisuudet ja siten "esitellä" oman selaimensa uhrin selaimena verkkosivustolle yhdistettäessä."
Kirjoittajat väittävät, että heidän kehittämänsä selaimen sormenjälkien kloonaustekniikat uhkaavat "tuhoisa ja pysyvä vaikutus käyttäjien yksityisyyteen ja turvallisuuteen verkossa".
Kun järjestelmää testataan kahta sormenjälkijärjestelmää vastaan, FPStalker ja Electronic Frontier Foundationin Panopticlick, kirjoittajat havaitsivat, että heidän järjestelmänsä pystyi simuloimaan siepattuja käyttäjätietoja onnistuneesti lähes koko ajan, vaikka järjestelmä ei ottanut huomioon useita määritteitä, mukaan lukien TCP/IP-pino. sormenjälkien, laitteisto-anturit ja DNS-selvittäjät.
Kirjoittajat väittävät myös, että uhri on täysin tietämätön hyökkäyksestä, mikä vaikeuttaa sen kiertämistä.
Metodologia
Selaimen sormenjälkien ottaminen profiilit luodaan useiden käyttäjän verkkoselaimen asetusten perusteella. Ironista kyllä, monet yksityisyyden suojaamiseksi suunnitellut puolustuskeinot, mukaan lukien mainostenestolaajennusten asentaminen, voivat itse asiassa luoda selaimen sormenjäljen selkeämpi ja helpompi kohdistaa.
Selaimen sormenjälki ei riipu evästeistä tai istuntotiedoista, vaan se tarjoaa a suurelta osin väistämätöntä tilannekuva käyttäjän asetuksista mihin tahansa verkkotunnukseen, jota käyttäjä selaa, jos kyseinen verkkotunnus on määritetty hyödyntämään tällaisia tietoja.
Avoimen haitallisten käytäntöjen lisäksi sormenjälkiä käytetään tyypillisesti mainosten kohdistamiseen käyttäjille petosten havaitseminen, Ja käyttäjätunnistus (yksi syy siihen, miksi laajennusten lisääminen tai muiden keskeisten muutosten tekeminen selaimeesi voi saada sivustot vaatimaan uudelleentodennuksen, koska selainprofiilisi on muuttunut edellisen vierailusi jälkeen).
Tutkijoiden ehdottama menetelmä vaatii uhria vain käymään verkkosivustolla, joka on määritetty tallentamaan selaimen sormenjälki – käytäntö, jota on tutkittu tuoreessa tutkimuksessa. arvioidaan on vallitseva yli 10 prosentilla 100,000 XNUMX suosituimmasta verkkosivustosta, ja mikä lomakkeet osa Googlen Federated Learning of Cohorts (FLOC) -järjestelmää, hakukonejätin ehdottamaa vaihtoehtoa evästepohjaiselle seurannalle. Se on myös Keskitetty tekniikka adtech-alustoille Yleisesti ottaen tavoittaa siis paljon enemmän kuin 10 % edellä mainitussa tutkimuksessa yksilöidyistä kohteista.
Tyypillisiä tietoja, jotka voidaan poimia käyttäjän selaimesta ilman evästeitä.
Tunnisteita, jotka voidaan poimia käyttäjän vierailusta (kerätty JavaScript-sovellusliittymien ja HTTP-otsikoiden kautta) kloonattavaan selainprofiiliin, ovat kieliasetukset, käyttöjärjestelmä, selainversiot ja -laajennukset, asennetut lisäosat, näytön tarkkuus, laitteisto, värisyvyys, aikavyöhyke, aikaleimat. , asennetut fontit, kankaan ominaisuudet, käyttäjäagenttimerkkijono, HTTP-pyyntöotsikot, IP-osoite ja laitteen kieliasetukset, mm. Ilman pääsyä moniin näistä ominaisuuksista monet yleisesti odotetut verkkotoiminnot eivät olisi mahdollisia.
Tietojen poimiminen mainosverkoston vastausten kautta
Kirjoittajat huomauttavat, että uhria koskevat mainostiedot on melko helppo paljastaa esiintymällä heidän kaapattua selainprofiiliaan. hyödynnettynä:
"[Jos] selaimen sormenjälkiä käytetään personoiduissa ja kohdistetuissa mainoksissa, hyvänlaatuista verkkosivustoa isännöivä verkkopalvelin työntäisi hyökkääjän selaimeen samat tai samankaltaiset mainokset, kuten ne, jotka olisi työnnetty uhrin selaimeen, koska verkko palvelin pitää hyökkääjän selainta uhrin selaimena. Räätälöityjen mainosten (esim. raskaustuotteisiin, lääkkeisiin ja brändeihin liittyvien) perusteella hyökkääjä voi päätellä uhrista erilaisia arkaluontoisia tietoja (esim. sukupuoli, ikäryhmä, terveydentila, kiinnostuksen kohteet, palkkataso jne.) ja jopa rakentaa uhrin henkilökohtainen käyttäytymisprofiili.
"Tällaisten henkilökohtaisten ja yksityisten tietojen vuotaminen voi aiheuttaa käyttäjälle hirvittävän yksityisyysuhan."
Koska selaimen sormenjäljet muuttuvat ajan myötä, käyttäjän pitäminen takaisin hyökkäyssivustolle pitää kloonatun profiilin ajan tasalla, mutta kirjoittajat väittävät, että kertaluonteinen kloonaus voi silti mahdollistaa yllättävän pitkän aikavälin tehokkaita hyökkäysjaksoja.
Käyttäjän todennuksen huijaus
Kaksivaiheisen todennuksen välttäminen todennusjärjestelmässä on siunaus kyberrikollisille. Kuten uuden artikkelin kirjoittajat toteavat, monet nykyiset todennuskehykset (2FA) käyttävät "tunnistettua" pääteltyä selainprofiilia tilin yhdistämiseen käyttäjään. Jos sivuston todennusjärjestelmät ovat vakuuttuneita siitä, että käyttäjä yrittää kirjautua sisään laitteella, jota käytettiin viimeisimmässä onnistuneessa kirjautumisessa, se ei välttämättä vaadi kaksivaiheista todennusta käyttäjän mukavuuden vuoksi.
Kirjoittajat huomauttavat sen oraakkeli, InAuth ja SecureAuth IdP kaikki harjoittavat jonkinlaista "tarkistuksen ohittamista" käyttäjän tallennetun selainprofiilin perusteella.
Petosten havaitseminen
Useat tietoturvapalvelut käyttävät selaimen sormenjälkiä työkaluna määrittääkseen todennäköisyyden, että käyttäjä osallistuu vilpillisiin toimiin. Tutkijat huomauttavat sen Seon ja IPQualityScore on kaksi tällaista yritystä.
Näin ollen ehdotetun menetelmän avulla on mahdollista joko epäoikeudenmukaisesti luonnehtia käyttäjää huijariksi käyttämällä "varjoprofiilia" tällaisten järjestelmien kynnysarvojen laukaisemiseen tai käyttää varastettua profiilia "partana" aidoissa petosyrityksissä, jolloin profiilin rikostekninen analyysi ohjataan pois hyökkääjästä uhria kohti.
Kolme hyökkäyspintaa
Paperi ehdottaa kolmea tapaa, joilla Gummy Browser -järjestelmää voitaisiin käyttää uhria vastaan: Hanki-kerran-huijaa-kerran liittyy uhrin selaintunnuksen kaappaamiseen kertaluonteista hyökkäystä varten, kuten yritykseen päästä suojatulle verkkotunnukselle käyttäjän varjolla. Tässä tapauksessa tunnuksen "iällä" ei ole merkitystä, koska tietoihin reagoidaan nopeasti ja ilman jatkotoimia.
Toisessa lähestymistavassa Hanki-kerran-huijaa-useinhyökkääjä pyrkii kehittämään uhrin profiilin tarkkailemalla, miten verkkopalvelimet reagoivat heidän profiiliinsa (eli mainospalvelimet, jotka toimittavat tietyntyyppistä sisältöä olettaen, että kyseessä on "tuttu" käyttäjä, jolla on jo selainprofiili liitettynä).
Lopuksi, Hanki-Frequently-Spoof-Frequently on pidempiaikainen juoni, jonka tarkoituksena on päivittää uhrin selainprofiili säännöllisesti saamalla uhri toistuvasti käymään vaarattomalla vuotosivustolla (joka on voitu kehittää esimerkiksi uutissivustoksi tai blogiksi). Tällä tavoin hyökkääjä voi suorittaa petosten havaitsemiseen tähtäävää väärennystä pidemmän ajan kuluessa.
Poiminta ja tulokset
Gummy-selainten käyttämät huijausmenetelmät käsittävät komentosarjojen injektoinnin, selaimen asetus- ja virheenkorjaustyökalujen käytön sekä komentosarjojen muokkaamisen.
Ominaisuudet voidaan suodattaa JavaScriptillä tai ilman sitä. Esimerkiksi user-agent-otsikot (jotka tunnistavat selaimen tuotemerkin, kuten kromi, Firefox, et al.), voidaan johtaa HTTP-otsikoista, jotka ovat perustavanlaatuisimpia ja ei-estettäviä tietoja, joita tarvitaan toiminnalliseen verkkoselailuun.
Testattaessa Gummy Browser -järjestelmää FPStalkeria ja Panopticlickiä vastaan tutkijat saavuttivat keskimäärin yli 0.95:n "omistajuuden" (oikean selainprofiilin osalta) kolmella sormenjälkialgoritmilla, mikä loi toimivan kloonin kaapatusta tunnisteesta.
Artikkelissa korostetaan, että järjestelmäarkkitehtien ei tule luottaa selainprofiilien ominaisuuksiin turvatunnuksena, ja kritisoidaan epäsuorasti joitakin laajempia todennuskehyksiä, jotka ovat ottaneet tämän käytännön käyttöön, erityisesti silloin, kun sitä käytetään menetelmänä "käyttäjäystävällisyyden" ylläpitämiseksi poistamalla tai lykkäämällä kaksivaiheisen todennuksen käyttöä.
Kirjoittajat päättelevät:
"Gummy-selainten vaikutus verkkoturvallisuuteen ja käyttäjien yksityisyyteen voi olla tuhoisa ja pysyvä, varsinkin kun selaimen sormenjälkien ottaminen on alkanut yleistyä todellisessa maailmassa. Tämän hyökkäyksen valossa työmme herättää kysymyksen siitä, onko selaimen sormenjälkien ottaminen turvallista ottaa käyttöön laajamittaisesti."
