Seguici sui social

Il nuovo attacco "clona" e abusa del tuo ID online univoco tramite l'impronta digitale del browser

Cybersecurity

Il nuovo attacco "clona" e abusa del tuo ID online univoco tramite l'impronta digitale del browser

mm
Pubblicato il

I ricercatori hanno sviluppato un metodo per copiare le caratteristiche del browser web di una vittima utilizzando tecniche di impronta digitale del browser e poi "impersonare" la vittima.

La tecnica ha molteplici implicazioni per la sicurezza: l'aggressore può svolgere attività online dannose o addirittura illegali, con la "registrazione" di tali attività attribuita all'utente; e le difese dell'autenticazione a due fattori possono essere compromesse, perché un sito di autenticazione ritiene che l'utente sia stato riconosciuto correttamente, in base al profilo dell'impronta digitale del browser rubato.

Inoltre, il "clone ombra" dell'aggressore può visitare siti che modificano il tipo di annunci pubblicitari visualizzati sul profilo utente, il che significa che l'utente inizierà a ricevere contenuti pubblicitari non correlati alle sue effettive attività di navigazione. Inoltre, l'aggressore può dedurre molte informazioni sulla vittima in base al modo in cui altri siti web (ignari) rispondono all'ID browser contraffatto.

. carta è intitolato Browser gommosi: spoofing mirato del browser contro tecniche di impronte digitali all'avanguardia, e proviene da ricercatori della Texas A&M University e dell'Università della Florida a Gainesville.

Panoramica della metodologia Gummy Browsers. Fonte: https://arxiv.org/pdf/2110.10129.pdf

Panoramica della metodologia Gummy Browsers.  Fonte: https://arxiv.org/pdf/2110.10129.pdf

Browser gommosi

Gli omonimi 'gummy browser' sono copie clonate del browser della vittima, chiamati così in seguito all'attacco 'Gummy Fingers' segnalato nei primi anni 2000, che impronte digitali reali replicate della vittima con copie in gelatina per aggirare i sistemi di identificazione delle impronte digitali.

Gli autori affermano:

'L'obiettivo principale di Gummy Browsers è quello di ingannare il server web facendogli credere che un utente legittimo stia accedendo ai suoi servizi, in modo da poter apprendere informazioni sensibili sull'utente (ad esempio, gli interessi dell'utente in base agli annunci personalizzati) o aggirare vari schemi di sicurezza (ad esempio, l'autenticazione e il rilevamento delle frodi) che si basano sull'impronta digitale del browser.'

Continuano:

"Purtroppo, abbiamo identificato un vettore di minaccia significativo contro tali algoritmi di collegamento. Nello specifico, abbiamo scoperto che un aggressore può catturare e falsificare le caratteristiche del browser di una vittima, e quindi può "presentare" il proprio browser come quello della vittima quando si connette a un sito web."

Gli autori sostengono che le tecniche di clonazione delle impronte digitali del browser che hanno sviluppato minacciano "un impatto devastante e duraturo sulla privacy e sulla sicurezza online degli utenti".

Nel testare il sistema rispetto a due sistemi di impronte digitali, FPSalker e la Electronic Frontier Foundation Panottica, gli autori hanno scoperto che il loro sistema era in grado di simulare con successo le informazioni utente acquisite quasi sempre, nonostante il sistema non tenesse conto di diversi attributi, incluso lo stack TCP/IP fingerprinting, sensori hardware and risolutori DNS.

Gli autori sostengono inoltre che la vittima sarà completamente ignara dell'attacco, rendendone difficile l'elusione.

Metodologia

Impronte digitali del browser I profili sono generati da molteplici fattori, legati alla configurazione del browser web dell'utente. Ironicamente, molte delle misure di sicurezza progettate per proteggere la privacy, inclusa l'installazione di estensioni per il blocco degli annunci pubblicitari, possono effettivamente generare un'impronta digitale del browser. più distinti e più facili da individuare.

Il fingerprinting del browser non dipende dai cookie o dai dati di sessione, ma offre piuttosto un in gran parte inevitabile un'istantanea della configurazione dell'utente per qualsiasi dominio che l'utente sta navigando, se quel dominio è configurato per sfruttare tali informazioni.

Lontano dalle pratiche palesemente dannose, l'impronta digitale viene in genere utilizzata per indirizzare la pubblicità agli utenti, ad esempio rilevazione di frodi, E per l'autenticazione degli utenti (uno dei motivi per cui l'aggiunta di estensioni o l'esecuzione di altre modifiche fondamentali al browser può far sì che i siti richiedano la riautenticazione, in base al fatto che il profilo del browser è cambiato dall'ultima visita).

Il metodo proposto dai ricercatori richiede solo che la vittima visiti un sito web configurato per registrare l'impronta digitale del browser, una pratica che uno studio recente stimato è prevalente su oltre il 10% dei primi 100,000 siti Web e quale forme parte del Federated Learning of Cohorts (FLOC) di Google, l'alternativa proposta dal gigante della ricerca al tracciamento basato sui cookie. È anche un tecnologia centrale nelle piattaforme adtech in generale, raggiungendo quindi ben oltre il 10% dei siti individuati nel suddetto studio.

Facet tipici che possono essere estratti dal browser di un utente senza la necessità di cookie.

Aspetti tipici che possono essere estratti dal browser di un utente senza bisogno di cookie.

Gli identificatori che possono essere estratti da una visita dell'utente (raccolti tramite API JavaScript e intestazioni HTTP) in un profilo del browser clonabile includono impostazioni della lingua, sistema operativo, versioni ed estensioni del browser, plug-in installati, risoluzione dello schermo, hardware, intensità del colore, fuso orario, timestamp , caratteri installati, caratteristiche della tela, stringa dell'agente utente, intestazioni della richiesta HTTP, indirizzo IP e impostazioni della lingua del dispositivo, tra gli altri. Senza l'accesso a molte di queste caratteristiche, una grande quantità di funzionalità Web comunemente previste non sarebbe possibile.

Estrazione di informazioni tramite le risposte della rete pubblicitaria

Gli autori notano che i dati pubblicitari sulla vittima sono abbastanza facili da esporre impersonando il loro profilo del browser acquisito e possono esserlo utilmente sfruttato:

"[Se] l'impronta digitale del browser viene utilizzata per annunci personalizzati e mirati, il server Web, che ospita un sito Web innocuo, invierà annunci uguali o simili al browser dell'aggressore come quelli che sarebbero stati inviati al browser della vittima perché il Web server considera il browser dell'aggressore come il browser della vittima. Sulla base degli annunci personalizzati (ad es. relativi a prodotti per la gravidanza, farmaci e marchi), l'aggressore può dedurre varie informazioni sensibili sulla vittima (ad es. sesso, fascia di età, stato di salute, interessi, livello salariale, ecc.), persino costruire un profilo comportamentale personale della vittima.

"La fuga di informazioni personali e private può rappresentare una minaccia spaventosa per la privacy dell'utente".

Poiché le impronte digitali del browser cambiano nel tempo, mantenere l'utente che torna sul sito dell'attacco manterrà aggiornato il profilo clonato, ma gli autori sostengono che una clonazione una tantum può ancora consentire periodi di attacco efficaci sorprendentemente a lungo termine.

Spoofing dell'autenticazione dell'utente

Ottenere un sistema di autenticazione che eviti l'autenticazione a due fattori è una vera manna per i criminali informatici. Come sottolineano gli autori del nuovo articolo, molti framework di autenticazione (2FA) attuali utilizzano un profilo browser dedotto e "riconosciuto" per associare l'account all'utente. Se i sistemi di autenticazione del sito sono certi che l'utente stia tentando di accedere da un dispositivo utilizzato durante l'ultimo accesso riuscito, potrebbero, per comodità dell'utente, non richiedere l'autenticazione a due fattori.

Lo osservano gli autori Oracle, InAut and IdP SecureAuth tutti praticano una qualche forma di "salto dei controlli", in base al profilo del browser registrato dall'utente.

Intercettazione di una frode

Vari servizi di sicurezza utilizzano il fingerprinting del browser come strumento per determinare la probabilità che un utente sia coinvolto in attività fraudolente. Lo notano i ricercatori Seon and Punteggio di qualità IP sono due di queste società.

Pertanto, attraverso la metodologia proposta, è possibile caratterizzare ingiustamente l'utente come un truffatore utilizzando il "profilo ombra" per attivare le soglie di tali sistemi, oppure utilizzare il profilo rubato come "barba" per veri e propri tentativi di frode, deviando l'analisi forense del profilo dall'aggressore e concentrandola sulla vittima.

Tre superfici di attacco

Il documento propone tre modi in cui il sistema Gummy Browser potrebbe essere utilizzato contro una vittima: Acquisisci-Una volta-Spoof-Una volta Consiste nell'appropriazione dell'ID del browser della vittima a supporto di un attacco una tantum, come il tentativo di ottenere l'accesso a un dominio protetto sotto le mentite spoglie dell'utente. In questo caso, l'età dell'ID è irrilevante, poiché le informazioni vengono utilizzate rapidamente e senza ulteriori azioni.

In un secondo approccio, Acquisisci una volta spoof frequentemente, l'aggressore cerca di sviluppare un profilo della vittima osservando come i server web rispondono al suo profilo (ad esempio, server pubblicitari che forniscono tipi specifici di contenuti partendo dal presupposto che si tratti di un utente "familiare" che ha già un profilo browser associato).

Infine, Acquisisci-frequentemente-spoofing-frequentemente è uno stratagemma a lungo termine progettato per aggiornare regolarmente il profilo del browser della vittima, facendole ripetere la visita all'innocuo sito di esfiltrazione (che potrebbe essere stato sviluppato come sito di notizie o blog, ad esempio). In questo modo, l'aggressore può eseguire spoofing di rilevamento delle frodi per un periodo di tempo più lungo.

Estrazione e Risultati

I metodi di spoofing utilizzati dai browser Gummy comprendono l'iniezione di script, l'uso degli strumenti di impostazione e debug del browser e la modifica degli script.

Le caratteristiche possono essere esfiltrate con o senza JavaScript. Ad esempio, le intestazioni user-agent (che identificano la marca del browser, come ad esempio Chrome, Firefox, et al.), possono essere ricavati dalle intestazioni HTTP, alcune delle informazioni più basilari e non bloccabili necessarie per una navigazione web funzionale.

Testando il sistema Gummy Browser su FPStalker e Panopticlick, i ricercatori hanno ottenuto una "proprietà" media (di un profilo browser appropriato) superiore a 0.95 su tre algoritmi di fingerprinting, realizzando un clone funzionante dell'ID catturato.

Il documento sottolinea la necessità per gli architetti di sistemi di non fare affidamento sulle caratteristiche del profilo del browser come token di sicurezza e critica implicitamente alcuni dei framework di autenticazione più ampi che hanno adottato questa pratica, soprattutto quando viene utilizzata come metodo per mantenere la "facilità d'uso" evitando o rinviando l'uso dell'autenticazione a due fattori.

Gli autori concludono:

"L'impatto dei Gummy Browser può essere devastante e duraturo sulla sicurezza online e sulla privacy degli utenti, soprattutto considerando che il browser fingerprinting sta iniziando a essere ampiamente adottato nel mondo reale. Alla luce di questo attacco, il nostro lavoro solleva la questione se il browser fingerprinting sia sicuro da implementare su larga scala".

 

Argomenti correlati:
mm

Scrittore di machine learning, specialista di dominio nella sintesi di immagini umane. Ex responsabile dei contenuti di ricerca presso Metaphysic.ai.
Sito personale: martinandson.ai
Contatti: [email protected]
Twitter: @manders_ai