Connect with us

ื”ืชืงืคื” ื—ื“ืฉื” ‘ืžืฉื•ื‘ื˜ืช’ ื•ืžื ืฆืœืช ืืช ื–ื”ื•ืชืš ื”ื™ื™ื—ื•ื“ื™ืช ื‘ืื™ื ื˜ืจื ื˜ ื“ืจืš ื–ื™ื”ื•ื™ ื”ื“ืคื“ืคืŸ

ืื‘ื˜ื—ืช ืกื™ื™ื‘ืจ

ื”ืชืงืคื” ื—ื“ืฉื” ‘ืžืฉื•ื‘ื˜ืช’ ื•ืžื ืฆืœืช ืืช ื–ื”ื•ืชืš ื”ื™ื™ื—ื•ื“ื™ืช ื‘ืื™ื ื˜ืจื ื˜ ื“ืจืš ื–ื™ื”ื•ื™ ื”ื“ืคื“ืคืŸ

mm
Published
Updated

חוקרים פיתחו שיטה להעתקת האפיונים של דפדפן האינטרנט של קורבן באמצעות טכניקות זיהוי הדפדפן, ולאחר מכן ‘לחקות’ את הקורבן.

הטכניקה הזו היא בעלת משמעויות ביטחוניות רבות: התוקף יכול לבצע פעולות מזיקות או אפילו בלתי חוקיות באינטרנט, ו’רישום’ של פעולות אלו יוחס למשתמש; והגנות של אימות דו-שלבי יכולות להיות מותגות, מכיוון שאתר האימות מאמין שהמשתמש זוהה בהצלחה, על בסיס פרופיל הדפדפן הגנוב.

בנוסף, ‘השיבוט’ של התוקף יכול לבקר באתרים שמשנים את סוג הפרסומות שמוצגות לפרופיל המשתמש, מה שאומר שהמשתמש יתחיל לקבל תוכן פרסומי שאינו קשור לפעילות הגלישה האמיתית שלו. כמו כן, התוקף יכול להסיק הרבה על הקורבן על בסיס האופן שבו אתרים אחרים (שאינם מודעים) עונים לזהות הדפדפן המזויפת.

המאמר כותרתו דפדפנים גומיים: חיקוי דפדפן מכוון נגד טכניקות זיהוי הדפדפן המתקדמות, ומגיע מחוקרים מאוניברסיטת טקסס A&M ואוניברסיטת פלורידה בגיינסוויל.

ืชืฆื•ื’ื” ื›ืœืœื™ืช ืฉืœ ื”ืžืชื•ื“ื•ืœื•ื’ื™ื” ืฉืœ Gummy Browsers.ย  ืžืงื•ืจ: https://arxiv.org/pdf/2110.10129.pdf

תצוגה כללית של המתודולוגיה של Gummy Browsers.  מקור: https://arxiv.org/pdf/2110.10129.pdf

דפדפנים גומיים

ה’דפדפנים הגומיים’ הם עותקים משובטים של דפדפן הקורבן, הקרויים על שם ‘התקפת האצבעות הגומיות’ שדווחה בתחילת שנות ה-2000, ששיחזרה את טביעות האצבעות של הקורבן עם עותקים מג’לטין כדי לעקוף מערכות זיהוי טביעות אצבע.

המחברים טוענים:

‘המטרה העיקרית של Gummy Browsers היא לרמות את שרת האינטרנט להאמין שמשתמש לגיטימי מגיש בקשה לשירותים שלו, כך שיוכל ללמוד מידע רגיש על המשתמש (למשל, עניינים של המשתמש על בסיס פרסומות ממותגות), או לעקוף מנגנוני ביטחון שונים (למשל, אימות וגילוי הונאות) שתלויים בזיהוי הדפדפן.’

הם ממשיכים:

‘לצערינו, אנו מזהים וקטור איום משמעותי נגד אלגוריתמים כאלו. במיוחד, אנו מוצאים שתוקף יכול לתפוס ולזייף את האפיונים של דפדפן הקורבן, ולכן יכול ל’הציג’ את הדפדפן שלו כדפדפן הקורבן כאשר הוא מתחבר לאתר.’

המחברים טוענים שטכניקות השיבוט של זיהוי הדפדפן שפיתחו מאיימות ‘השפעה הרסנית וארוכת טווח על הפרטיות והביטחון המקוון של המשתמשים’.

בבדיקת המערכת נגד שני מערכות זיהוי, FPStalker וPanopticlick של קרן החירות האלקטרונית, המחברים מצאו שמערכתם הצליחה לחקות את המידע המשתמש בהצלחה כמעט תמיד, על אף שהמערכת לא לקחה בחשבון מספר מאפיינים, כולל זיהוי מחסנית TCP/IP, חיישנים חומרה ומפענחי DNS.

המחברים טוענים גם שהקורבן יהיה לחלוטין לא מודע להתקפה, מה שהופך אותה לקשה לעקוף.

מתודולוגיה

פרופילי זיהוי הדפדפן נוצרים על ידי מספר גורמים של האופן שבו דפדפן האינטרנט של המשתמש מוגדר. באירוניה, הרבה מההגנות שנועדו להגן על הפרטיות, כולל התקנת הרחבות לבלוק אתרים, יכולות לגרום לפרופיל הדפדפן להיות ייחודי יותר וקל יותר לזהות.

זיהוי הדפדפן אינו תלוי בעוגיות או נתוני מושב, אלא מציע צילום לא הפיך של ההגדרות של המשתמש לכל דומיין שהמשתמש גולש, אם הדומיין מוגדר לנצל מידע כזה.

הרחק מפרקטיקות מרושעות, זיהוי הדפדפן משמש בדרך כלל להציג פרסומות ממותגות למשתמשים, לגילוי הונאות, ולאימות משתמש (אחת הסיבות שהוספת הרחבות או שינויים אחרים בדפדפן יכולים לגרום לאתרים לדרוש אימות מחדש, על בסיס העובדה שפרופיל הדפדפן שלו השתנה מאז הביקור האחרון).

השיטה שהוצעה על ידי החוקרים דורשת רק שהקורבן יבקר באתר שמוגדר להקליט את פרופיל הדפדפן שלו – פרקטיקה שמחקר העריך קיימת ביותר מ-10% מ-100,000 האתרים המובילים, ואשר עוצבה כחלק מ-Federated Learning of Cohorts (FLOC) של גוגל, החלופה המוצעת של גוגל לעקיבה מבוססת עוגיות. זו גם טכנולוגיה מרכזית בפלטפורמות adtech בכלל, ולכן מגיעה הרבה יותר מ-10% מהאתרים שזוהו במחקר הנ”ל.

ืคื ื™ื ื˜ื™ืคื•ืกื™ื•ืช ืฉื ื™ืชืŸ ืœื—ืœืฅ ืžื“ืคื“ืคืŸ ื”ืžืฉืชืžืฉ ืœืœื ืฆื•ืจืš ื‘ืขื•ื’ื™ื•ืช.

פנים טיפוסיות שניתן לחלץ מדפדפן המשתמש ללא צורך בעוגיות.

מזהים שניתן לחלץ מביקור המשתמש (נאספו דרך API של JavaScript וכותרות HTTP) לתוך פרופיל דפדפן שניתן לשכפל, כולל הגדרות שפה, מערכת הפעלה, גרסאות דפדפן והרחבות, תוספים מותקנים, רזולוציית מסך, חומרה, עומק צבע, אזור זמן, טיימסטמפים, גופנים מותקנים, מאפייני קנבס, מחרוזת משתמש, כותרות בקשת HTTP, כתובת IP והגדרות שפת התקן, בין היתר. ללא גישה לרבים מאפיונים אלו, עבודה רבה של פונקציונליות אינטרנט מוערכת לא תהיה אפשרית.

חילוץ מידע דרך תגובות רשת הפרסום

המחברים מציינים שנתוני פרסום על הקורבן הם קלים מאוד לחשוף על ידי חיקוי פרופיל הדפדפן שלו, ויכולים להיות מנוצלים:

‘[אם] זיהוי הדפדפן מופעל לפרסומות ממותגות וממוקדות, שרת האינטרנט, המארח אתר תמים, ידחוף את אותן פרסומות או פרסומות דומות לדפדפן התוקף כמו שהיו מודחפות לדפדפן הקורבן, מכיוון ששרת האינטרנט רואה בדפדפן התוקף כדפדפן הקורבן. על בסיס פרסומות ממותגות (למשל, קשורות למוצרי הריון, תרופות ומותגים), התוקף יכול להסיק מידע רגיש על הקורבן (למשל, מין, קבוצת גיל, מצב בריאות, עניינים, רמת שכר, וכו’), אפילו לבנות פרופיל התנהגות אישי של הקורבן.

‘דליפה של מידע אישי ופרטי כזה יכולה להעלות איום מרגיע למשתמש.’

מאחר שטביעות הדפדפן משתנות במהלך הזמן, שמירה על המשתמש שיחזור לאתר התקיפה תשמור את הפרופיל המשובט עדכני, אך המחברים טוענים ששיבוט חד-פעמי עדיין יכול לאפשר תקופות תקיפה יעילות לטווח ארוך.

חיקוי אימות משתמש

קבלת מערכת אימות לוותר על אימות דו-שלבי היא ברכה לפושעים סייבר. כפי שהמחברים של המאמר החדש מציינים, הרבה מערכות אימות (2FA) נוכחיות משתמשות ב’פרופיל דפדפן מוכר’ כדי לקשר את החשבון עם המשתמש. אם מערכות האימות של האתר מרוצות שהמשתמש מנסה להתחבר להתקן ששימש בהצלחה בפעם האחרונה, היא עשויה, לנוחות המשתמש, לא לדרוש 2FA.

המחברים מציינים שOracle, InAuth וSecureAuth IdP כולם עושים שימוש בצורה כזו או אחרת ב’בדיקת דילוג’, המבוססת על פרופיל הדפדפן הרשום של המשתמש.

גילוי הונאות

שירותי ביטחון שונים משתמשים בזיהוי הדפדפן ככלי לקביעת הסיכוי שמשתמש מעורב בפעילויות הונאה. החוקרים מציינים שSeon וIPQualityScore הם שניים כאלו.

כך, יש אפשרות, דרך המתודולוגיה המוצעת, לאפיין את המשתמש בצורה לא צודקת כהונאה על ידי שימוש ב’פרופיל הצל’, או להשתמש בפרופיל הגנוב כ’זקן’ לניסיונות אמיתיים של הונאה, ולהסיט את ניתוח המעקב אחר הפרופיל הרחק מהתוקף ולעבר הקורבן.

שלושה פני שטח תקיפה

המאמר מציע שלוש דרכים שבהן מערכת Gummy Browser עשויה להיות משומשת נגד קורבן: Acquire-Once-Spoof-Once כוללת השתלת זהות הדפדפן של הקורבן לתמיכה בהתקפה חד-פעמית, כגון ניסיון לגישה לדומיין מוגן בתור המשתמש. במקרה זה, ‘הגיל’ של הזהות אינו רלוונטי, מכיוון שהמידע מנוצל במהירות וללא המשך.

בגישה שנייה, Acquire-Once-Spoof-Frequently, התוקף מנסה לפתח פרופיל של הקורבן על ידי תצפית על האופן שבו שרתי אינטרנט עונים לפרופיל שלו (כלומר, שרתי פרסום שמציגים תוכן ממותג למשתמשים שיש להם פרופיל דפדפן משותף).

לבסוף, Acquire-Frequently-Spoof-Frequently היא תוכנית לטווח ארוך, שנועדה לעדכן את פרופיל הדפדפן של הקורבן באופן קבוע, על ידי החזרת הקורבן לבקר באתר התקיפה (שיכול להיות פותח כאתר חדשות או בלוג, למשל). בדרך זו, התוקף יכול לבצע חיקוי גילוי הונאות לאורך זמן.

חילוץ ותוצאות

שיטות החיקוי שמשתמשים ב-Gummy Browsers כוללות הזרקת סקריפט, שימוש בהגדרות הדפדפן וכלים לניפוי שגיאות, ושינוי סקריפט.

האפיונים יכולים להיות מוצאים עם או בלי JavaScript. למשל, כותרות user-agent (המזהות את מותג הדפדפן, כגון Chrome, Firefox, וכו’) יכולות להיות נגזרות מכותרות HTTP, מידע בסיסי ולא חסום שנדרש לגלישה באינטרנט.

בבדיקת המערכת נגד FPStalker ו-Panopticlick, החוקרים השיגו ‘בעלות’ ממוצעת של יותר מ-0.95 על פני שלושה אלגוריתמים של זיהוי, ויצרו עותק פעיל של הזהות הגנובה.

המאמר מדגיש את הצורך שאדריכלי מערכות לא יסמכו על אפיונים של פרופיל הדפדפן כאמצעי ביטחון, ומבקר במפורש את המסגרות האימות הגדולות שאימצו פרקטיקה זו, במיוחד שם היא משמשת כדרך לשמור על ‘נוחות המשתמש’ על ידי ביטול או דחיית שימוש באימות דו-שלבי.

המחברים מסכמים:

‘השפעת Gummy Browsers יכולה להיות הרסנית וארוכת טווח על הביטחון והפרטיות המקוונים של המשתמשים, במיוחד בהתחשב בכך שזיהוי הדפדפן מתחיל להיות מאומץ בקנה מידה גדול בעולם האמיתי. באור התקיפה הזו, עבודתנו מעלה את השאלה האם זיהוי הדפדפן בטוח להפעלה בקנה מידה גדול.’

Related Topics:
mm

ื›ื•ืชื‘ ืขืœ ืœืžื™ื“ืช ืžื›ื•ื ื”, ืžื•ืžื—ื” ืชื—ื•ื ื‘ืกื™ื ืชื–ื” ืฉืœ ืชืžื•ื ื•ืช ืื ื•ืฉื™ื•ืช. ืœืฉืขื‘ืจ ืจืืฉ ืชื•ื›ืŸ ืžื—ืงืจ ื‘- Metaphysic.ai.
ืืชืจ ืื™ืฉื™: martinanderson.ai
ืฆื•ืจ ืงืฉืจ: [email protected]
ื˜ื•ื•ื™ื˜ืจ: @manders_ai