Kyberturvallisuus
Uusi hyökkäys ‘klonaa’ ja väärinkäyttää yksilöllistä verkkotunnistetta selainsormenjäljen avulla
Tutkijat ovat kehittäneet menetelmän, jolla voidaan kopioida uhrin verkkoselaimen ominaisuuksia selainsormenjälkitekniikoiden avulla, ja sen jälkeen “esittää” uhria.
Tekniikalla on useita turvallisuusvaikutuksia: hyökkääjä voi suorittaa vahingollisia tai jopa laittomia verkkotoimia, ja “tietue” näistä toimista voidaan liittää käyttäjään; ja kaksivaiheisen tunnistautumisen puolustukset voidaan heikentää, koska tunnistussivusto uskoo, että käyttäjä on tunnistettu onnistuneesti perustuen varastettuun selainsormenjälkiprofiiliin
Lisäksi hyökkääjän “varjoklooni” voi vierailla sivustoilla, jotka muuttavat mainosten tyyppejä, jotka toimitetaan kyseiselle käyttäjäprofiilille, mikä tarkoittaa, että käyttäjä alkaa vastaanottaa mainossisisältöä, joka ei liity heidän todellisiin verkkoselaamistoimiin. Lisäksi hyökkääjä voi päätellä paljon uhrista siitä, miten muut (tietämättömät) verkkosivustot vastaavat väärennettyyn selaintunnisteeseen.
Artikkeli on nimeltään Gummy Browsers: Targeted Browser Spoofing against State-of-the-Art Fingerprinting Techniques, ja se on Texas A&M Universityn ja Floridan yliopiston tutkijoiden työtä.
Gummy Browsers -menetelmän yleiskatsaus. Lähde: https://arxiv.org/pdf/2110.10129.pdf
Gummy Browsers
Nimettömät ‘gummy browsers’ ovat uhrin selaimen kloonatut kopiot, jotka on nimetty 2000-luvun alussa raportoidun ‘Gummy Fingers’ -hyökkäyksen mukaan, joka tosi uhrin sormenjäljen geelikappaleilla voidakseen ohittaa sormenjälkitunnistusjärjestelmän.
Kirjoittajat toteavat:
‘Gummy Browsersin päämäärä on hämätä verkkopalvelin uskomaan, että legitiimi käyttäjä käyttää sen palveluja, jotta se voi oppia herkkää tietoa käyttäjästä (esim. käyttäjän kiinnostuksia henkilökohtaisiin mainoksiin perustuen), tai kiertää erilaisia turvajärjestelmiä (esim. tunnistautumista ja petoshavaintojärjestelmiä), jotka perustuvat selainsormenjälkiin.’
He jatkavat:
‘Valitettavasti me tunnistamme merkittävän uhkavektorin näiden linkitysalgoritmien vastaisena. Nimenomaan, me havaitsemme, että hyökkääjä voi kaapata ja väärentää selainominaisuuksia uhrin selaimesta, ja näin ollen “esittää” oman selaimensa uhrin selaimena yhdistäessään verkkosivustolle.’
Kirjoittajat väittävät, että heidän kehittämänsä selainsormenjäljen kloonaustekniikat uhkaavat ‘tuhovoittavaa ja kestävää vaikutusta verkkoyksityisyyteen ja turvallisuuteen’.
Kokeilemassa järjestelmää kahden sormenjälkijärjestelmän, FPStalker ja Electronic Frontier Foundationin Panopticlick, kirjoittajat totesivat, että heidän järjestelmänsä pystyi simuloimaan kaapatun käyttäjäinformaation onnistuneesti lähes aina, vaikka järjestelmä ei ottaa huomioon useita ominaisuuksia, kuten TCP/IP-pinosormenjälki, laitteistosensorit ja DNS-palvelimet.
Kirjoittajat toteavat myös, että uhri on täysin tietämätön hyökkäyksestä, mikä tekee sen vaikeaksi kiertää.
Menetelmä
Selainsormenjälki -profiilit luodaan useista tekijöistä, joilla käyttäjän verkkoselain on konfiguroitu. Ironisesti, monet yksityisyyden suojaamiseen suunnitelluista puolustuksista, kuten mainosestojen asentaminen, voivat itse asiassa tehdä selainsormenjäljestä erottuvamman ja helpommin kohdistettavissa olevan.
Selainsormenjälki ei riipu evästeistä tai istunnon tiedoista, vaan tarjoaa pääosin välttämättömän otoksen käyttäjän asetusten, mikä on saatavilla mille tahansa verkkosivustolle, jota käyttäjä selailee, jos kyseinen sivusto on konfiguroitu hyödyntämään tällaista tietoa.
Poiketen ilmeisistä pahantahtoisista käytännöistä, sormenjälkiä käytetään yleensä kohdennettuihin mainoksiin, petoshavainnointiin ja käyttäjän tunnistautumiseen (yksi syy, miksi laajennusten lisääminen tai muut selaimen perusmuutokset voivat aiheuttaa sivustojen vaatimaan uudelleentunnistautumista, koska selainprofiili on muuttunut edellisestä käynnistä).
Menetelmä, jonka tutkijat ovat ehdottaneet, vaatii vain, että uhri vierailee verkkosivustolla, joka on konfiguroitu tallentamaan heidän selainsormenjälkensä – käytäntö, jonka viimeaikainen tutkimus arvioi olevan yleinen yli 10 prosentilla 100 000 suosituimman sivuston joukossa, ja joka muodostaa osan Google’n Federated Learning of Cohorts (FLOC) -ohjelmaa, jonka tarkoituksena on korvata evästeiden perusteella tapahtuva seuranta. Se on myös keskeinen teknologia mainosteknologian alustoissa yleensä, ja siten se ulottuu paljon laajemmin kuin 10 prosenttiin sivustoista, jotka mainittiin edellä.
Tyypillisiä piirteitä, jotka voidaan poimia käyttäjän selaimesta ilman evästeiden tarvetta.
Tunnisteet, jotka voidaan poimia käyttäjän vierailusta (kerätty JavaScript-rajapinnoista ja HTTP-otsikoista) kloonattavaan selainprofiiliin, sisältävät kieliasetukset, käyttöjärjestelmän, selainversiot ja laajennukset, asennetut liitännäiset, näytön resoluutio, laitteisto, värisyvyys, aikavyöhyke, aikaleimat, asennetut fontit, canvas-ominaisuudet, käyttäjä-agentti-merkkijono, HTTP-pyyntöotsikot, IP-osoite ja laitteiston kieliasetukset, muun muassa. Ilman pääsyä näihin ominaisuuksiin suuri osa yleisesti odotettua verkkofunktioita ei olisi mahdollista.
Tiedon poimiminen mainosverkkojen vastauksista
Kirjoittajat toteavat, että mainostiedot uhrista voidaan paljastaa esittämällä heidän kaapatun selainprofiiliaan, ja voidaan hyödyntää:
‘[Jos] selainsormenjälkiä käytetään henkilökohtaisiin ja kohdennettuihin mainoksiin, verkkopalvelin, joka isännöi viattoman verkkosivuston, lähettäisi samat tai samankaltaiset mainokset hyökkääjän selaimelle kuin ne, jotka olisivat lähetetty uhrin selaimelle, koska verkkopalvelin pitää hyökkääjän selainta uhrin selaimena. Henkilökohtaisiin mainoksiin (esim. raskauden tuotteisiin, lääkkeisiin ja tuotemerkkeihin) perustuen hyökkääjä voi päätellä erilaisia herkkäluontoisia tietoja uhrista (esim. sukupuoli, ikäryhmä, terveydentila, kiinnostukset, palkkataso jne.), jopa luoda uhrin henkilökohtainen käyttäytyminenprofiili.
‘Tällaisen henkilökohtaisen ja yksityisen tiedon vuoto voi aiheuttaa pelottavan yksityisyyden uhan käyttäjälle.’
Koska selainsormenjäljet muuttuvat ajan myötä, uhrin paluu hyökkäyssivustolle pitää kloonatun profiilin ajan tasalla, mutta kirjoittajat toteavat, että kertaluontoinen kloonaus voi silti mahdollistaa yllättävän pitkäaikaisen hyökkäyksen.
Käyttäjän tunnistautumisen väärentäminen
Tunnistautumisjärjestelmän saaminen välttämään kaksivaiheisen tunnistautumisen on hyökkääjille etu. Kirjoittajat toteavat, että monet nykyiset tunnistautumiskehykset (2FA) käyttävät “tunnistettua” selainprofiilia yhdistääksesi tilin käyttäjään. Jos sivuston tunnistautumisjärjestelmät ovat tyytyväisiä siihen, että käyttäjä yrittää kirjautua laitteella, jota käytettiin edellisessä onnistuneessa kirjautumisessa, se voi, käyttäjän mukavuuden vuoksi, ei vaadi 2FA.
Kirjoittajat toteavat, että Oracle, InAuth ja SecureAuth IdP kaikki harjoittavat tällaista “tarkistuksen ohittamista”, joka perustuu käyttäjän tallennettuun selainprofiiliin.
Petoshavainnointi
Eri turvapalvelut käyttävät selainsormenjälkeä välineenä määrittääkseen todennäköisyyden siitä, onko käyttäjä osallistunut petollisiin toimiin. Tutkijat toteavat, että Seon ja IPQualityScore ovat kaksi tällaista yritystä.
Näin ollen on mahdollista, että käyttäjää voidaan väärin kuvailla petolliseksi käyttämällä “varjoprofiilia” laukaisemaan näiden järjestelmien kynnykset, tai käyttää varastettua profiilia “partana” oikeiden petosyritysten peittämiseksi, jolloin tutkinta kohdistuu pois hyökkääjästä ja uhriin.
Kolme hyökkäyspintaa
Artikkeli ehdottaa kolmea tapaa, joilla Gummy Browser -järjestelmää voidaan käyttää uhrin vastaan: Acquire-Once-Spoof-Once -menetelmässä uhrin selaintunniste kaapataan yhden kerran hyökkäyksen tueksi, kuten yritettäessä päästä suojattuun alueeseen uhrin nimissä. Tässä tapauksessa tunnisteen “ikä” on merkityksetön, koska tietoa käytetään nopeasti ja ilman jatkotoimia.
Toisessa lähestymistavassa, Acquire-Once-Spoof-Frequently, hyökkääjä pyrkii kehittämään profiilin uhrista seuraamalla, miten verkkopalvelimet vastaavat heidän profiiliinsa (esim. mainospalvelimet, jotka toimittavat tietyntyyppisiä sisältöjä oletetun “tuttavan” käyttäjän olettaen, että heillä on jo aiemmin luotu selainprofiili).
Lopulta Acquire-Frequently-Spoof-Frequently on pidempiaikainen juoni, jonka tarkoituksena on päivittää uhrin selainprofiilia säännöllisesti saamalla uhri palautumaan hyökkäyssivustolle (joka on kehitetty uutissivustoksi tai blogiksi esim.). Tällä tavoin hyökkääjä voi suorittaa petoshavainnoinnin väärentämisen pidemmän ajanjakson ajan.
Poimiminen ja tulokset
Gummy Browsersin väärentämismenetelmät koostuvat skriptiinjektiosta, selaimen asetusten ja virheenkorjaustyökalujen käytöstä sekä skriptimuutoksista.
Ominaisuudet voidaan poimia JavaScriptin avulla tai ilman. Esimerkiksi käyttäjä-agenttiotsikot (joissa on mainittu selaimen valmistaja, kuten Chrome, Firefox jne.), voidaan johdeta HTTP-otsikoista, jotka ovat perustavimpia ja estämättömiä tietoja, jotka ovat välttämättömiä toimivalle verkkoselaamiselle.
Kokeilemassa Gummy Browser -järjestelmää FPStalkeria ja Panopticlickiä vastaan, tutkijat saavuttivat keskimäärin yli 0,95 omistajuuden kolmessa sormenjälkialgoritmassa, mikä mahdollisti toimivan kloonin kaapatusta tunnisteesta.
Artikkeli korostaa järjestelmäarkkitehtien tarpeen olla riippumattomia selainprofiilin ominaisuuksista turvatokenina, ja implisiittisesti arvostelee joitakin suurempia tunnistautumiskehyksiä, jotka ovat omaksuneet tämän käytännön, erityisesti silloin, kun sitä käytetään “käyttäjäystävällisyyden” ylläpitämiseen kaksivaiheisen tunnistautumisen ohittamiseksi tai lykkaamiseksi.
Kirjoittajat toteavat:
‘Gummy Browsersin vaikutus voi olla tuhoisa ja kestävä verkkoturvaluksen ja yksityisyyden kannalta, erityisesti koska selainsormenjälki on alkanut yleistyä todellisessa maailmassa. Tämän hyökkäyksen valossa työmme herättää kysymyksen siitä, onko selainsormenjälki turvallista käyttää laajassa mittakaavassa.’
