mozzicone Il nuovo attacco "clona" e abusa del tuo ID online univoco tramite il fingerprinting del browser - Unite.AI
Seguici sui social
   Cybersecurity  
Il nuovo attacco "clona" e abusa del tuo ID online univoco tramite l'impronta digitale del browser
 mm
Pubblicato il
 anni fa, 3
 on
   
 
I ricercatori hanno sviluppato un metodo per copiare le caratteristiche del browser Web di una vittima utilizzando tecniche di fingerprinting del browser e successivamente "impersonare" la vittima.
La tecnica ha molteplici implicazioni sulla sicurezza: l'aggressore può svolgere attività online dannose o addirittura illegali, con il "registro" di tali attività attribuito all'utente; e le difese dell'autenticazione a due fattori possono essere compromesse, perché un sito di autenticazione ritiene che l'utente sia stato riconosciuto con successo, in base al profilo dell'impronta digitale del browser rubato
Inoltre, il "clone ombra" dell'attaccante può visitare siti che modificano il tipo di annunci forniti a quel profilo utente, il che significa che l'utente inizierà a ricevere contenuti pubblicitari non correlati alle sue effettive attività di navigazione. Inoltre, l'attaccante può dedurre molto sulla vittima in base al modo in cui altri siti Web (ignaro) rispondono all'ID del browser contraffatto.
I carta è intitolato Browser gommosi: spoofing mirato del browser contro tecniche di impronte digitali all'avanguardia, e proviene da ricercatori della Texas A&M University e dell'Università della Florida a Gainesville.
Panoramica della metodologia Gummy Browsers. Fonte: https://arxiv.org/pdf/2110.10129.pdf
 Panoramica della metodologia Gummy Browsers.  Fonte: https://arxiv.org/pdf/2110.10129.pdf
Browser gommosi
Gli eponimi "browser gommosi" sono copie clonate del browser vittima, che prendono il nome dall'attacco "Gummy Fingers" segnalato nei primi anni 2000, che impronte digitali reali della vittima replicate con copie in gelatina per aggirare i sistemi di identificazione delle impronte digitali.
Gli autori affermano:
"L'obiettivo principale di Gummy Browser è ingannare il server Web facendogli credere che un utente legittimo stia accedendo ai suoi servizi in modo che possa apprendere informazioni sensibili sull'utente (ad esempio, interessi dell'utente basati sugli annunci personalizzati) o eludere vari schemi di sicurezza (ad es. autenticazione e rilevamento di frodi) che si basano sull'impronta digitale del browser.'
Continuano:
'Purtroppo, identifichiamo un significativo vettore di minaccia contro tali algoritmi di collegamento. In particolare, troviamo che un utente malintenzionato può catturare e falsificare le caratteristiche del browser di una vittima, e quindi può "presentare" il proprio browser come il browser della vittima quando si connette a un sito web.'
Gli autori sostengono che le tecniche di clonazione delle impronte digitali del browser che hanno sviluppato minacciano "un impatto devastante e duraturo sulla privacy e sulla sicurezza online degli utenti".
Nel testare il sistema rispetto a due sistemi di impronte digitali, FPSalker e quelli della Electronic Frontier Foundation Panottica, gli autori hanno scoperto che il loro sistema era in grado di simulare con successo le informazioni utente acquisite quasi sempre, nonostante il sistema non tenesse conto di diversi attributi, incluso lo stack TCP/IP fingerprinting, sensori hardware ed risolutori DNS.
Gli autori sostengono inoltre che la vittima sarà completamente ignara dell'attacco, rendendone difficile l'elusione.
Metodologia
Impronte digitali del browser i profili sono generati da molteplici fattori del modo in cui è configurato il browser Web dell'utente. Ironia della sorte, molte delle difese progettate per proteggere la privacy, inclusa l'installazione di estensioni di blocco degli annunci, possono effettivamente creare un'impronta digitale del browser più distinti e più facili da individuare.
Il fingerprinting del browser non dipende dai cookie o dai dati di sessione, ma offre piuttosto un in gran parte inevitabile un'istantanea della configurazione dell'utente su qualsiasi dominio in cui l'utente sta navigando, se tale dominio è configurato per sfruttare tali informazioni.
Lontano da pratiche apertamente dannose, le impronte digitali sono generalmente utilizzate bersaglio pubblicità presso gli utenti, per rilevazione di frodi, E per l'autenticazione degli utenti (uno dei motivi per cui l'aggiunta di estensioni o l'esecuzione di altre modifiche fondamentali al browser può far sì che i siti richiedano la riautenticazione, in base al fatto che il profilo del browser è cambiato dall'ultima visita).
Il metodo proposto dai ricercatori richiede solo che la vittima visiti un sito Web configurato per registrare l'impronta digitale del browser, una pratica che un recente studio stimato è prevalente su oltre il 10% dei primi 100,000 siti Web e quale forme parte del Federated Learning of Cohorts (FLOC) di Google, l'alternativa proposta dal colosso della ricerca al tracciamento basato sui cookie. È anche un tecnologia centrale nelle piattaforme adtech in generale, raggiungendo quindi ben oltre il 10% dei siti individuati nel suddetto studio.
Facet tipici che possono essere estratti dal browser di un utente senza la necessità di cookie.
 Facet tipici che possono essere estratti dal browser di un utente senza la necessità di cookie.
Gli identificatori che possono essere estratti da una visita dell'utente (raccolti tramite API JavaScript e intestazioni HTTP) in un profilo del browser clonabile includono impostazioni della lingua, sistema operativo, versioni ed estensioni del browser, plug-in installati, risoluzione dello schermo, hardware, intensità del colore, fuso orario, timestamp , caratteri installati, caratteristiche della tela, stringa dell'agente utente, intestazioni della richiesta HTTP, indirizzo IP e impostazioni della lingua del dispositivo, tra gli altri. Senza l'accesso a molte di queste caratteristiche, una grande quantità di funzionalità Web comunemente previste non sarebbe possibile.
Estrazione di informazioni tramite le risposte della rete pubblicitaria 
Gli autori notano che i dati pubblicitari sulla vittima sono abbastanza facili da esporre impersonando il loro profilo del browser acquisito e possono esserlo utilmente sfruttato:
"[Se] l'impronta digitale del browser viene utilizzata per annunci personalizzati e mirati, il server Web, che ospita un sito Web innocuo, invierà annunci uguali o simili al browser dell'aggressore come quelli che sarebbero stati inviati al browser della vittima perché il Web server considera il browser dell'aggressore come il browser della vittima. Sulla base degli annunci personalizzati (ad es. relativi a prodotti per la gravidanza, farmaci e marchi), l'aggressore può dedurre varie informazioni sensibili sulla vittima (ad es. sesso, fascia di età, stato di salute, interessi, livello salariale, ecc.), persino costruire un profilo comportamentale personale della vittima. 
"La fuga di tali informazioni personali e private può costituire una spaventosa minaccia per la privacy dell'utente."
Poiché le impronte digitali del browser cambiano nel tempo, mantenere l'utente che torna sul sito dell'attacco manterrà aggiornato il profilo clonato, ma gli autori sostengono che una clonazione una tantum può ancora consentire periodi di attacco efficaci sorprendentemente a lungo termine.
Spoofing dell'autenticazione dell'utente
Ottenere un sistema di autenticazione per evitare l'autenticazione a due fattori è un vantaggio per i criminali informatici. Come notano gli autori del nuovo documento, molti framework di autenticazione (2FA) correnti utilizzano un profilo del browser dedotto "riconosciuto" per associare l'account all'utente. Se i sistemi di autenticazione del sito ritengono che l'utente stia tentando di accedere su un dispositivo che è stato utilizzato durante l'ultimo accesso riuscito, potrebbe, per comodità dell'utente, non richiedere 2FA.
Lo osservano gli autori Oracle, InAut ed IdP SecureAuth tutti praticano una qualche forma di questo "salto del controllo", basato sul profilo del browser registrato di un utente.
Intercettazione di una frode
Vari servizi di sicurezza utilizzano il fingerprinting del browser come strumento per determinare la probabilità che un utente sia coinvolto in attività fraudolente. Lo notano i ricercatori Seon ed Punteggio di qualità IP sono due di queste società.
Pertanto, è possibile, attraverso la metodologia proposta, caratterizzare ingiustamente l'utente come truffatore utilizzando il "profilo ombra" per attivare le soglie di tali sistemi, oppure utilizzare il profilo rubato come "barba" per veri e propri tentativi di frode , deviando l'analisi forense del profilo lontano dall'aggressore e verso la vittima.
Tre superfici di attacco
Il documento propone tre modi in cui il sistema Gummy Browser potrebbe essere utilizzato contro una vittima: Acquisisci-Una volta-Spoof-Una volta comporta l'appropriazione dell'ID del browser della vittima a supporto di un attacco una tantum, ad esempio un tentativo di ottenere l'accesso a un dominio protetto sotto le spoglie dell'utente. In questo caso, l'"età" dell'ID è irrilevante, poiché l'informazione viene elaborata rapidamente e senza follow-up.
In un secondo approccio, Acquisisci una volta spoof frequentemente, l'attaccante sta cercando di sviluppare un profilo della vittima osservando come i server web rispondono al suo profilo (ovvero ad server che forniscono tipi specifici di contenuto supponendo che un utente "familiare" abbia già un profilo del browser associato) .
Infine, Acquisisci-frequentemente-spoofing-frequentemente è uno stratagemma a lungo termine progettato per aggiornare regolarmente il profilo del browser della vittima facendo ripetere alla vittima la visita all'innocuo sito di esfiltrazione (che potrebbe essere stato sviluppato come sito di notizie o blog, ad esempio). In questo modo l'attaccante può eseguire lo spoofing di rilevamento delle frodi per un periodo di tempo più lungo.
Estrazione e Risultati
I metodi di spoofing utilizzati da Gummy Browser comprendono l'iniezione di script, l'uso degli strumenti di impostazione e debug del browser e la modifica degli script.
Le caratteristiche possono essere esfiltrate con o senza JavaScript. Ad esempio, le intestazioni user-agent (che identificano la marca del browser, come ad esempio Chrome, Firefox, et al.), possono essere derivati ​​da intestazioni HTTP, alcune delle informazioni più basilari e non bloccabili necessarie per la navigazione web funzionale.
Nel testare il sistema Gummy Browser contro FPStalker e Panopticlick, i ricercatori hanno ottenuto una "proprietà" media (di un profilo del browser appropriato) di oltre 0.95 su tre algoritmi di fingerprinting, effettuando un clone praticabile dell'ID acquisito.
Il documento sottolinea la necessità per gli architetti di sistema di non fare affidamento sulle caratteristiche del profilo del browser come token di sicurezza e critica implicitamente alcuni dei più ampi framework di autenticazione che hanno adottato questa pratica, specialmente dove viene utilizzata come metodo per mantenere la "facilità d'uso" da parte di evitare o rinviare l'uso dell'autenticazione a due fattori.
Gli autori concludono:
'L'impatto dei browser gommosi può essere devastante e duraturo sulla sicurezza online e sulla privacy degli utenti, soprattutto considerando che il fingerprinting del browser sta iniziando ad essere ampiamente adottato nel mondo reale. Alla luce di questo attacco, il nostro lavoro solleva la questione se il browser fingerprinting sia sicuro da implementare su larga scala.'
 
       
 Argomenti correlati:
 mm
Scrittore di machine learning, intelligenza artificiale e big data.
 Sito personale:  martinandson.ai
 Contatti:  [email protected]
 Twitter: @manders_ai