Serangan Baru ‘Mengkloning’ dan Menyalahgunakan ID Online Unik Anda melalui Browser Fingerprinting

Peneliti telah mengembangkan metode untuk menyalin karakteristik browser web korban menggunakan teknik browser fingerprinting, dan setelah itu ‘mengimpersonasi’ korban.

Teknik ini memiliki beberapa implikasi keamanan: penyerang dapat melakukan kegiatan online yang merusak atau bahkan ilegal, dengan ‘catatan’ dari kegiatan tersebut dikaitkan dengan pengguna; dan pertahanan autentikasi dua faktor dapat dikompromikan, karena situs autentikasi percaya bahwa pengguna telah berhasil dikenali, berdasarkan profil sidik jari browser yang dicuri

Selain itu, ‘klon bayangan’ penyerang dapat mengunjungi situs yang mengubah jenis iklan yang disampaikan ke profil pengguna, yang berarti pengguna akan mulai menerima konten iklan yang tidak terkait dengan aktivitas browsing sebenarnya. Selanjutnya, penyerang dapat menyimpulkan banyak tentang korban berdasarkan cara situs lain (yang tidak menyadari) merespons sidik jari browser yang dipalsukan.

Makalah paper ini berjudul Gummy Browsers: Targeted Browser Spoofing against State-of-the-Art Fingerprinting Techniques, dan berasal dari peneliti di Texas A&M University dan University of Florida at Gainesville.

Overview of the Gummy Browsers methodology.  Source: https://arxiv.org/pdf/2110.10129.pdf

Gummy Browsers

‘Gummy browsers’ yang eponim adalah salinan korban browser, dinamai setelah serangan ‘Gummy Fingers’ yang dilaporkan pada awal 2000-an, yang menggandakan sidik jari korban dengan salinan gelatin untuk melewati sistem ID sidik jari.

Penulis menyatakan:

‘Tujuan utama dari Gummy Browsers adalah untuk menipu server web agar percaya bahwa pengguna yang sah sedang mengakses layanan mereka sehingga dapat mempelajari informasi sensitif tentang pengguna (misalnya, minat pengguna berdasarkan iklan yang dipersonalisasi), atau melewati skema keamanan yang berbagai (misalnya, autentikasi dan deteksi penipuan) yang bergantung pada browser fingerprinting.’

Mereka melanjutkan:

‘Sayangnya, kami mengidentifikasi vektor ancaman yang signifikan terhadap algoritma penghubung seperti itu. Secara khusus, kami menemukan bahwa penyerang dapat menangkap dan memalsukan karakteristik browser korban, dan dengan demikian dapat “menampilkan” browser mereka sendiri sebagai browser korban saat terhubung ke situs web.’

Penulis berpendapat bahwa teknik pengkloning sidik jari browser yang mereka kembangkan mengancam ‘dampak yang mematikan dan langgeng pada privasi dan keamanan online pengguna’.

Dalam pengujian sistem terhadap dua sistem sidik jari, FPStalker dan Panopticlick, penulis menemukan bahwa sistem mereka dapat mensimulasikan informasi pengguna yang ditangkap dengan sukses hampir semua waktu, meskipun sistem tidak memperhitungkan beberapa atribut, termasuk sidik jari TCP/IP stack fingerprinting, sensor perangkat keras dan DNS resolvers.

Penulis juga berpendapat bahwa korban akan sepenuhnya tidak menyadari serangan, membuatnya sulit untuk menghindarinya.

Metodologi

Browser fingerprinting profil dihasilkan oleh beberapa faktor dari cara browser web pengguna dikonfigurasi. Ironisnya, banyak pertahanan yang dirancang untuk melindungi privasi, termasuk menginstal ekstensi pemblokir iklan, sebenarnya dapat membuat sidik jari browser lebih khas dan lebih mudah diserang.

Browser fingerprinting tidak bergantung pada cookie atau data sesi, tetapi menawarkan snapshots yang hampir tidak dapat dihindari dari pengaturan pengguna kepada domain mana pun yang pengguna jelajahi, jika domain tersebut dikonfigurasi untuk mengeksploitasi informasi tersebut.

Jauh dari praktik yang jelas-jelas berbahaya, fingerprinting biasanya digunakan untuk menargetkan iklan kepada pengguna, untuk deteksi penipuan, dan untuk autentikasi pengguna (salah satu alasan mengapa menambahkan ekstensi atau membuat perubahan inti lainnya pada browser Anda dapat menyebabkan situs meminta autentikasi ulang, berdasarkan fakta bahwa profil browser Anda telah berubah sejak kunjungan terakhir Anda).

Metode yang diusulkan oleh peneliti hanya memerlukan korban untuk mengunjungi situs web yang dikonfigurasi untuk merekam sidik jari browser mereka – praktik yang studi terbaru memperkirakan ada pada lebih dari 10% dari 100.000 situs web teratas, dan yang merupakan bagian dari Federated Learning of Cohorts (FLOC) Google, alternatif yang diusulkan untuk pelacakan berbasis cookie. Ini juga merupakan teknologi pusat dalam platform adtech secara umum, sehingga mencapai lebih dari 10% situs yang diidentifikasi dalam studi yang disebutkan di atas.

Typical facets that can be extracted from a user’s browser without the need for cookies.

Pengidentifikasi yang dapat diekstrak dari kunjungan pengguna (dikumpulkan melalui API JavaScript dan header HTTP) ke dalam profil browser yang dapat dikloning termasuk pengaturan bahasa, sistem operasi, versi browser dan ekstensi, plugin yang dipasang, resolusi layar, perangkat keras, kedalaman warna, zona waktu, timestamp, font yang dipasang, karakteristik canvas, string user-agent, header permintaan HTTP, alamat IP dan pengaturan bahasa perangkat, di antara lainnya. Tanpa akses ke banyak karakteristik ini, sejumlah besar fungsionalitas web yang diharapkan tidak akan mungkin.

Mengambil Informasi Melalui Respon Jaringan Iklan

Penulis mencatat bahwa data iklan tentang korban cukup mudah terbuka dengan mengimpersonasi profil browser yang ditangkap, dan dapat dieksploitasi dengan berguna:

‘[Jika] browser fingerprinting digunakan untuk iklan yang dipersonalisasi dan ditargetkan, server web, yang menghosting situs web yang tidak berbahaya, akan mendorong iklan yang sama atau serupa ke browser penyerang seperti yang akan diberikan kepada browser korban karena server web menganggap browser penyerang sebagai browser korban. Berdasarkan iklan yang dipersonalisasi (misalnya, terkait produk kehamilan, obat-obatan dan merek), penyerang dapat menyimpulkan berbagai informasi sensitif tentang korban (misalnya, jenis kelamin, kelompok usia, kondisi kesehatan, minat, tingkat gaji, dll.), bahkan membangun profil perilaku pribadi korban.

‘Kebocoran informasi pribadi dan pribadi seperti itu dapat meningkatkan ancaman privasi yang menakutkan bagi pengguna.’

Karena sidik jari browser berubah seiring waktu, menjaga pengguna untuk kembali ke situs serangan akan menjaga profil yang dikloning tetap mutakhir, tetapi penulis mempertahankan bahwa pengkloning satu kali masih dapat memungkinkan periode serangan yang efektif dalam jangka panjang.

Autentikasi Pengguna Pemalsuan

Mendapatkan sistem autentikasi untuk meninggalkan autentikasi dua faktor adalah keuntungan bagi penjahat cyber. Seperti yang dicatat oleh penulis makalah baru, banyak kerangka autentikasi saat ini (2FA) menggunakan profil browser yang ‘dikenali’ untuk mengasosiasikan akun dengan pengguna. Jika sistem autentikasi situs puas bahwa pengguna mencoba masuk ke perangkat yang digunakan pada login sukses terakhir, maka mungkin, untuk kenyamanan pengguna, tidak menuntut 2FA.

Penulis mengamati bahwa Oracle, InAuth dan SecureAuth IdP semua melakukan beberapa bentuk ‘pengecualian’ ini, berdasarkan profil browser yang direkam pengguna.

Deteksi Penipuan

Berbagai layanan keamanan menggunakan browser fingerprinting sebagai alat untuk menentukan kemungkinan bahwa pengguna terlibat dalam kegiatan penipuan. Peneliti mencatat bahwa Seon dan IPQualityScore adalah dua perusahaan seperti itu.

Oleh karena itu, memungkinkan, melalui metodologi yang diusulkan, untuk baik memfitnah pengguna sebagai penipu dengan menggunakan ‘profil bayangan’ untuk memicu ambang batas sistem tersebut, atau menggunakan profil yang dicuri sebagai ‘jenggot’ untuk upaya penipuan yang sebenarnya, mengalihkan analisis forensik profil dari penyerang ke korban.

Tiga Permukaan Serangan

Makalah ini mengusulkan tiga cara sistem Gummy Browser mungkin digunakan terhadap korban: Acquire-Once-Spoof-Once melibatkan mengambil alih ID browser korban untuk mendukung serangan satu kali, seperti upaya untuk mendapatkan akses ke domain yang dilindungi dengan mengaku sebagai pengguna. Dalam hal ini, ‘usia’ ID tidak relevan, karena informasi tersebut segera digunakan dan tanpa tindak lanjut.

Dalam pendekatan kedua, Acquire-Once-Spoof-Frequently, penyerang mencari untuk mengembangkan profil korban dengan mengamati bagaimana server web merespons profil mereka (yaitu server iklan yang menyampaikan konten tertentu dengan asumsi ‘pengguna yang familiar’ yang sudah memiliki profil browser yang terkait dengan mereka).

Terakhir, Acquire-Frequently-Spoof-Frequently adalah tipu muslihat jangka panjang yang dirancang untuk secara teratur memperbarui profil browser korban dengan membuat korban mengunjungi kembali situs web yang tidak berbahaya (yang mungkin dikembangkan sebagai situs web berita atau blog, misalnya). Dengan cara ini penyerang dapat melakukan pemalsuan deteksi penipuan selama periode waktu yang lebih lama.

Ekstraksi dan Hasil

Metode pemalsuan yang digunakan oleh Gummy Browsers terdiri dari injeksi skrip, penggunaan pengaturan browser dan alat debugging, dan modifikasi skrip.

Karakteristik dapat diekstrak dengan atau tanpa JavaScript. Misalnya, header user-agent (yang mengidentifikasi merek browser, seperti Chrome, Firefox, dll.), dapat diambil dari header HTTP, beberapa informasi dasar yang tidak dapat diblokir yang diperlukan untuk browsing web fungsional.

Dalam pengujian sistem Gummy Browser terhadap FPStalker dan Panopticlick, peneliti mencapai ‘pemilikan’ rata-rata lebih dari 0,95 di seluruh tiga algoritma sidik jari, sehingga menghasilkan klon yang efektif dari ID yang ditangkap.

Makalah ini menekankan kebutuhan bagi arsitek sistem untuk tidak mengandalkan karakteristik profil browser sebagai token keamanan, dan secara implisit mengkritik beberapa kerangka autentikasi yang lebih besar yang telah mengadopsi praktik ini, terutama di mana digunakan sebagai metode untuk mempertahankan ‘ke ramahan pengguna’ dengan menghilangkan atau menunda penggunaan autentikasi dua faktor.

Penulis menyimpulkan:

‘Dampak dari Gummy Browsers dapat mematikan dan langgeng pada keamanan dan privasi online pengguna, terutama mengingat bahwa browser-fingerprinting mulai banyak diadopsi di dunia nyata. Dalam cahaya serangan ini, pekerjaan kami mempertanyakan apakah browser fingerprinting aman untuk diterapkan dalam skala besar.’