Ný árás „klónar“ og misnotar einstaka auðkenni á netinu með fingrafaragerð vafra

Vísindamenn hafa þróað aðferð til að afrita eiginleika vefvafra fórnarlambsins með því að nota fingrafaratækni í vafra og síðan „gera eftir sér“ fórnarlambið.

Tæknin hefur margvísleg öryggisáhrif: árásarmaðurinn getur framkvæmt skaðlega eða jafnvel ólöglega athafnir á netinu, þar sem „skráning“ þessara athafna er rekin til notandans; og tveggja þátta auðkenningarvarnir geta verið í hættu, vegna þess að auðkenningarsíða telur að notandinn hafi verið þekktur, byggt á stolnu fingrafarasniði vafrans

Að auki getur „skuggaklón“ árásarmannsins heimsótt síður sem breyta tegund auglýsinga sem sendar eru á þann notendaprófíl, sem þýðir að notandinn mun byrja að fá auglýsingaefni sem er ótengt raunverulegu vafravirkni þeirra. Ennfremur getur árásarmaðurinn ályktað mikið um fórnarlambið út frá því hvernig aðrar (óvitandi) vefsíður bregðast við sviknum vafraauðkenni.

The pappír er titill Gummy vafrar: Markviss vafrasvik gegn nýjustu fingrafaratækni, og kemur frá vísindamönnum við Texas A&M háskólann og háskólann í Flórída í Gainesville.

Gummy vafrar

Samnefndir „gúmmívafrar“ eru klónuð afrit af fórnarlambsvafranum, nefndur eftir árásinni „Gummy Fingers“ sem tilkynnt var um snemma á 2000. raunveruleg fingraför fórnarlambsins með gelatínafritum til að komast framhjá fingrafara auðkenniskerfum.

Höfundar segja:

„Meginmarkmið Gummy Browsers er að blekkja vefþjóninn til að trúa því að lögmætur notandi sé að fá aðgang að þjónustu hans þannig að hann geti lært viðkvæmar upplýsingar um notandann (td hagsmuni notandans byggt á sérsniðnum auglýsingum) eða sniðgengið ýmsar öryggiskerfi (td auðkenning og uppgötvun svika) sem treysta á fingrafaragerð vafrans.'

Þeir halda áfram:

„Því miður greinum við verulegan ógnarferil gegn slíkum tengingarreikniritum. Nánar tiltekið, við komumst að því að árásarmaður getur fanga og spilla vafraeiginleikum vafra fórnarlambsins og getur þar af leiðandi „kynnt“ eigin vafra sem vafra fórnarlambsins þegar hann tengist vefsíðu.'

Höfundarnir halda því fram að fingrafaraklónunartækni vafrans sem þeir hafa þróað ógni „hrikaleg og varanleg áhrif á persónuvernd og öryggi notenda á netinu“.

Við prófun kerfisins gegn tveimur fingrafarakerfum, FPStalker og Electronic Frontier Foundation panoptic smell, höfundar komust að því að kerfið þeirra var fær um að líkja eftir handteknum notendaupplýsingum með góðum árangri næstum allan tímann, þrátt fyrir að kerfið hafi ekki gert grein fyrir nokkrum eiginleikum, þar á meðal TCP/IP stafla Fingraförun, vélbúnaðarskynjara og DNS lausnarar.

Höfundarnir halda því einnig fram að fórnarlambið muni vera algjörlega ómeðvitað um árásina, sem gerir það erfitt að sniðganga hana.

Aðferðafræði

Fingrafar vafra prófílar eru búnir til af mörgum þáttum í því hvernig vafri notandans er stilltur. Það er kaldhæðnislegt að margar af vörnunum sem eru hannaðar til að vernda friðhelgi einkalífsins, þar á meðal að setja upp auglýsingalokunarviðbætur, geta í raun gert fingrafar vafrans áberandi og auðveldara að miða við.

Fingrafar vafra er ekki háð vafrakökum eða lotugögnum heldur býður upp á a að mestu óhjákvæmilegt skyndimynd af uppsetningu notandans á hvaða léni sem notandinn er að skoða, ef það lén er stillt til að nýta slíkar upplýsingar.

Í burtu frá augljósum illgjarnri vinnubrögðum er fingrafarataka venjulega notuð til miða auglýsingar hjá notendum, fyrir svik uppgötvun, Og að notendavottun (ein ástæða fyrir því að bæta við viðbótum eða gera aðrar kjarnabreytingar á vafranum þínum getur valdið því að síður krefjast endurvottunar, byggt á því að vafraprófíllinn þinn hefur breyst frá síðustu heimsókn þinni).

Aðferðin sem rannsakendur leggja til krefst þess aðeins að fórnarlambið heimsæki vefsíðu sem er stillt til að taka upp fingrafar vafrans þeirra - venja sem nýleg rannsókn áætlaður er ríkjandi á meira en 10% af 100,000 efstu vefsíðunum, og hvaða eyðublöð hluti af Google Federated Learning of Cohorts (FLOC), fyrirhuguðum valkosti leitarrisans í stað þess að fylgjast með fótsporum. Það er líka a miðlæg tækni í adtech kerfum almennt og nær því til mun meira en 10% staða sem tilgreind eru í ofangreindri rannsókn.

Auðkenni sem hægt er að draga úr notendaheimsókn (safnað með JavaScript API og HTTP hausum) inn í klónanlegt vafrasnið eru tungumálastillingar, stýrikerfi, vafraútgáfur og viðbætur, uppsett viðbætur, skjáupplausn, vélbúnaður, litadýpt, tímabelti, tímastimplar , uppsett leturgerð, einkenni striga, strengur notandaumboðsmanns, HTTP beiðnihausar, IP tölu og tungumálastillingar tækis, meðal annarra. Án aðgangs að mörgum af þessum eiginleikum væri mikið af almennum væntanlegum vefvirkni ekki möguleg.

Útdráttur upplýsinga með svörun auglýsinganets

Höfundarnir taka fram að auðvelt er að afhjúpa auglýsingagögn um fórnarlambið með því að líkja eftir að vafraprófíllinn þeirra er tekinn og geta verið hagnýtt:

„[Ef] fingrafar vafrans er notað fyrir sérsniðnar og markvissar auglýsingar myndi vefþjónninn, sem hýsir góðkynja vefsíðu, ýta sömu eða svipuðum auglýsingum í vafra árásarmannsins eins og þeim sem hefði verið ýtt í vafra fórnarlambsins vegna þess að vefurinn þjónn lítur á vafra árásarmannsins sem vafra fórnarlambsins. Byggt á sérsniðnum auglýsingum (td tengdum þungunarvörum, lyfjum og vörumerkjum) getur árásarmaðurinn ályktað um ýmsar viðkvæmar upplýsingar um fórnarlambið (td kyn, aldurshópur, heilsufar, áhugamál, launastig o.s.frv.), jafnvel byggt upp persónuleg hegðunarsnið fórnarlambsins.

"Leki slíkra persónulegra og einkaupplýsinga getur valdið hræðilegri persónuverndarógn fyrir notandann."

Þar sem fingraför vafra breytast með tímanum mun það halda klónaðri prófílnum uppfærðum með því að halda notandanum aftur á árásarsíðuna, en höfundarnir halda því fram að einskiptis klónun geti samt gert furðu langtíma áhrifarík árásartímabil.

Notendavottunarsvik

Að fá auðkenningarkerfi til að forðast tvíþætta auðkenningu er blessun fyrir netglæpamenn. Eins og höfundar nýju blaðsins benda á, nota margir núverandi auðkenningarramma (2FA) „viðurkenndan“ ályktað vafrasnið til að tengja reikninginn við notandann. Ef auðkenningarkerfi síðunnar eru fullviss um að notandinn sé að reyna að skrá sig inn á tæki sem var notað við síðustu innskráningu getur hann, til þæginda fyrir notendur, ekki krafist 2FA.

Höfundar taka eftir því Oracle, InAuth og SecureAuth IdP allir æfa einhverja tegund af þessari „athugunarsleppingu“, byggt á skráðum vafrasniði notanda.

Svik uppgötvun

Ýmsar öryggisþjónustur nota fingrafar vafra sem tæki til að ákvarða líkurnar á því að notandi stundi sviksamlega starfsemi. Rannsakendur taka það fram Seon og IPQualityScore eru tvö slík fyrirtæki.

Þannig er mögulegt, með fyrirhugaðri aðferðafræði, annaðhvort að lýsa notandanum á óréttmætan hátt sem svik með því að nota „skuggasniðið“ til að kveikja á þröskuldum slíkra kerfa, eða nota stolna sniðið sem „skegg“ fyrir raunverulegar tilraunir til svika. , beina réttargreiningu á prófílnum frá árásarmanninum og í átt að fórnarlambinu.

Þrír árásarfletir

Blaðið leggur til þrjár leiðir til að nota Gummy vafrakerfið gegn fórnarlambinu: Eignast-Einu sinni-Spoof-Einu sinni felur í sér að eignast vafraauðkenni fórnarlambsins til stuðnings einu sinni árás, svo sem tilraun til að fá aðgang að vernduðu léni í gervi notandans. Í þessu tilviki skiptir „aldur“ skilríkjanna engu þar sem brugðist er hratt við upplýsingum og án eftirfylgni.

Í annarri nálgun, Fáðu-einu sinni-spoof-oft, árásarmaðurinn er að leitast við að þróa prófíl af fórnarlambinu með því að fylgjast með því hvernig vefþjónar bregðast við prófílnum sínum (þ.e. auglýsingaþjónar sem senda tilteknar tegundir af efni á þeirri forsendu að „kunnugur“ notandi sem þegar er með vafraprófíl tengdan þeim) .

Að lokum, Fáðu-oft-spoof-oft er langtímabrella sem hannað er til að uppfæra reglulega vafraprófíl fórnarlambsins með því að láta fórnarlambið endurtaka heimsókn sína á saklausu útrásarsíðuna (sem gæti hafa verið þróuð sem fréttasíða eða blogg, til dæmis). Á þennan hátt getur árásarmaðurinn framkvæmt svikauppgötvun yfir lengri tíma.

Útdráttur og niðurstöður

Sköpunaraðferðirnar sem Gummy vafrar nota samanstanda af innspýtingu handrita, notkun á stillingum vafrans og villuleitarverkfærum og breytingar á handriti.

Hægt er að útrýma einkennunum með eða án JavaScript. Til dæmis, notandi-umboðshausar (sem auðkenna vörumerki vafra, svo sem Chrome, Firefox, o.fl.), er hægt að fá úr HTTP hausum, sumum grunn- og ólokanlegustu upplýsingum sem eru nauðsynlegar fyrir virka vefskoðun.

Við prófun Gummy vafrakerfisins gegn FPStalker og Panopticlick náðu rannsakendur að meðaltali „eignarhaldi“ (á viðeigandi vafrasniði) meira en 0.95 á þremur fingrafara reikniritum, sem gerði framkvæmanlegan klón af handteknu auðkenninu.

Í blaðinu er lögð áhersla á nauðsyn kerfisarkitekta til að treysta ekki á eiginleika vafrasniðs sem öryggistákn og gagnrýnir óbeint suma stærri auðkenningaramma sem hafa tekið upp þessa venju, sérstaklega þar sem hún er notuð sem aðferð til að viðhalda „notendavænni“ af að koma í veg fyrir eða fresta notkun tveggja þátta auðkenningar.

Höfundarnir álykta:

„Áhrif Gummy vafra geta verið hrikaleg og varanleg á netöryggi og friðhelgi notenda, sérstaklega í ljósi þess að fingrafar vafra er farið að verða almennt tekið upp í hinum raunverulega heimi. Í ljósi þessarar árásar vekur starf okkar upp þá spurningu hvort öruggt sé að nota fingrafar vafra í stórum stíl.'