サイバーセキュリティ
新しい攻撃 ‘クローン’ がブラウザ フィンガープリントを使用してユニークなオンライン ID を悪用する
研究者は、ブラウザ フィンガープリント技術を使用して、被害者の Web ブラウザの特性をコピーする方法を開発しました。そこで、被害者を ‘なりすまし’ ます。
この技術には、複数のセキュリティ上の影響があります。攻撃者は、被害者の ‘記録’ に帰属される有害または違法なオンライン活動を実行できます。また、2 要素認証の防御が損なわれる可能性があります。なぜなら、認証サイトは、盗まれたブラウザ フィンガープリント プロファイルに基づいて、ユーザーが正常に認識されたと考えているからです。
さらに、攻撃者の ‘影のクローン’ は、ユーザー プロファイルに配信される広告の種類を変更するサイトを訪問できます。つまり、ユーザーは実際のブラウジング アクティビティに無関係な広告コンテンツを受け取るようになります。また、攻撃者は、他の (無知な) Web サイトが偽のブラウザ ID に対してどのように反応するかによって、被害者について多くの情報を推測できます。
論文 のタイトルは、Gummy Browsers: Targeted Browser Spoofing against State-of-the-Art Fingerprinting Techniques であり、テキサス A&M 大学とフロリダ大学ゲインズビルの研究者によるものです。
Gummy Browsers メソッドの概要。 Source: https://arxiv.org/pdf/2110.10129.pdf
Gummy Browsers
同名の ‘ガミーブラウザ’ は、被害者のブラウザのクローンコピーであり、2000 年代初頭に報告された ‘ガミーフィンガー’ 攻撃にちなんで命名されています。この攻撃では、被害者の実際の指紋 をゼラチンコピーで複製して、指紋 ID システムを回避しました。
著者は述べています:
‘Gummy Browsers の主な目的は、Web サーバーを欺いて、正当なユーザーがサービスにアクセスしているように見せかけることです。そうすれば、ユーザーについての機密情報 (例: ユーザーの興味に基づくパーソナライズされた広告) を学んだり、ブラウザ フィンガープリントに依存するさまざまなセキュリティ スキーム (例: 認証およびフロード検出) を回避したりできます。 ‘
彼らは続けています:
‘残念ながら、私たちはそのようなリンク アルゴリズムに対する重大な脅威を特定しました。具体的には、攻撃者が被害者のブラウザの特性をキャプチャして偽装し、したがって Web サイトに接続するときに自分のブラウザを被害者のブラウザとして提示できます。 ‘
著者は、開発したブラウザ フィンガープリント クローニング技術が、‘ユーザーのオンライン プライバシーとセキュリティに壊滅的な影響を及ぼす可能性がある ‘ と主張しています。
FPStalker と Electronic Frontier Foundation の Panopticlick という 2 つのフィンガープリント システムに対するテストで、著者は、システムがほぼすべての時間にユーザー情報をシミュレートすることができたことを発見しました。ただし、システムは TCP/IP スタック フィンガープリント、ハードウェア センサー、および DNS リゾルバー を考慮していませんでした。
著者はまた、被害者は攻撃に完全に気付かないだろうと主張しています。これにより、回避が困難になります。
メソッド
ブラウザ フィンガープリント プロファイルは、ユーザーの Web ブラウザが構成されている方法の複数の要因によって生成されます。皮肉なことに、プライバシーを保護するために設計された多くの防御、包括してアドブロック拡張機能をインストールすることが、実際にはブラウザ フィンガープリントを より独自でターゲットしやすくする ことができます。
ブラウザ フィンガープリントは、Cookie またはセッション データに依存しません。ただし、ユーザーが閲覧しているドメインに、ユーザーの設定の ほぼ回避不能なスナップショット を提供します。
悪意のある行為から離れて、フィンガープリントは通常、ユーザーにターゲットを絞った広告を表示するために使用されます。さらに、不正検出 および ユーザー認証 (ブラウザ プロファイルが最後の訪問以来変更されたという事実に基づいて、サイトが再認証を要求する理由の 1 つ) に使用されます。
研究者によって提案された方法では、被害者がブラウザ フィンガープリントを記録するように構成された Web サイトを訪問するだけで済みます。最近の研究では、トップ 10 万の Web サイトの 10% を超えるサイトでこの実践が行われている と推定されています。また、Google の Federated Learning of Cohorts (FLOC) の一部であるため、アドテック プラットフォーム全体で使用されている中央技術です。したがって、上記の研究で特定されたサイトの 10% を超えて到達します。
ユーザーのブラウザから抽出可能な典型的なファセット (Cookie が必要ない場合).
ユーザー訪問から抽出可能な識別子 (JavaScript API および HTTP ヘッダーを介して収集) を、クローン可能なブラウザ プロファイルに含めることができます。言語設定、オペレーティング システム、ブラウザ バージョンおよび拡張機能、インストールされたプラグイン、画面解像度、ハードウェア、色深度、タイム ゾーン、タイムスタンプ、インストールされたフォント、キャンバス特性、ユーザー エージェント文字列、HTTP リクエスト ヘッダー、IP アドレス、およびデバイス言語設定などが含まれます。これらの特性の多くが利用できない場合、多くの一般的に期待される Web 機能は機能しません。
広告ネットワークの応答を介した情報の抽出
著者は、被害者のブラウザ プロファイルを偽装することで、被害者についての広告データを簡単に公開でき、有用に利用できると述べています:
‘[もし] ブラウザ フィンガープリントがパーソナライズされたターゲット広告に使用される場合、Web サーバー (ベニンワェブ サイトをホストする) は、攻撃者のブラウザに被害者のブラウザと同じ、または同様の広告を配信します。なぜなら、Web サーバーは攻撃者のブラウザを被害者のブラウザとして考えるからです。パーソナライズされた広告 (例: 妊娠製品、医薬品、ブランドに関する広告) に基づいて、攻撃者は被害者についてのさまざまな機密情報 (例: 性別、年齢層、健康状態、興味、給与レベルなど) を推測できます。さらに、被害者の個人的な行動プロファイルを構築できます。 ‘
‘このような個人的でプライベートな情報の漏洩は、ユーザーに恐ろしいプライバシー上の脅威をもたらす可能性があります。 ‘
ブラウザ フィンガープリントは時間の経過とともに変化するため、被害者が攻撃サイトを再訪問することでクローン プロファイルを最新のままに保つことができますが、著者は、1 回のクローニングでも驚くほど長期間にわたる有効な攻撃が可能になる可能性があると主張しています。
ユーザー認証のスプーフィング
2 要素認証を回避することは、サイバー犯罪者にとって大きな利点です。論文の著者は、多くの現在の認証 (2FA) フレームワークが、’認識された’ と推定されるブラウザ プロファイルを使用して、アカウントをユーザーに関連付けていることを指摘しています。サイトの認証システムが、ユーザーが最後の成功したログイン時に使用したデバイスでログインを試みていることを確認した場合、2FA を要求しない場合があります。
著者は、Oracle、InAuth、および SecureAuth IdP がすべて、ユーザーの記録されたブラウザ プロファイルに基づいて ‘チェック スキップ’ の形式を実践していることを観察しています。
不正検出
さまざまなセキュリティ サービスは、ブラウザ フィンガープリントを不正行為の可能性を判断するツールとして使用しています。研究者は、Seon と IPQualityScore がそのような会社の 2 つであると述べています。
したがって、提案された方法を使用して、ユーザーを不正行為者として不当に特定することが可能です。そうすることで、システムのしきい値を ‘影のプロファイル’ を使用してトリガーすることができます。または、実際の不正行為の試みの ‘ベアード’ として盗まれたプロファイルを使用して、プロファイルに関する法医学的分析を攻撃者から被害者に逸らすことができます。
3 つの攻撃面
論文では、Gummy Browser システムが被害者に対して 3 つの方法で使用される可能性があることを提案しています。 Acquire-Once-Spoof-Once では、被害者のブラウザ ID を 1 回の攻撃 (例: ユーザーのように保護されたドメインにアクセスする試み) に対して取得します。この場合、ID の ‘年齢’ は無関係です。情報は迅速に処理され、フォローアップはありません。
2 番目のアプローチでは、Acquire-Once-Spoof-Frequently、攻撃者は被害者のプロファイルを開発することを目指しており、Web サーバーがプロファイル (例: 特定のタイプのコンテンツを配信する広告サーバー) に対してどのように反応するかを観察することで行います。
最後に、Acquire-Frequently-Spoof-Frequently は、被害者のブラウザ プロファイルを定期的に更新するために設計された長期的な戦略です。被害者が無害な情報漏洩サイト (例: ニュース サイトまたはブログ) を繰り返し訪問することで、攻撃者は長期間にわたって不正検出のスプーフィングを実行できます。
抽出と結果
Gummy Browsers を使用するスプーフィング方法には、スクリプトのインジェクション、ブラウザの設定およびデバッグ ツールの使用、およびスクリプトの変更が含まれます。
特性は、JavaScript を使用して、または使用せずに抽出できます。たとえば、ユーザー エージェント ヘッダー (ブラウザのブランド、たとえば Chrome、Firefox などを識別します) は、Web ブラウジングに必要な最も基本的なブロックされない情報である HTTP ヘッダーから派生できます。
FPStalker と Panopticlick に対する Gummy Browser システムのテストで、研究者は 3 つのフィンガープリント アルゴリズム全体で、平均 ‘所有権’ (盗まれたブラウザ プロファイル) が 0.95 を超えることを達成しました。効果的なクローンを作成するために、盗まれた ID をシミュレートしました。
論文では、システム アーキテクトがブラウザ プロファイルの特性をセキュリティ トークンとして依存しない必要性を強調しています。さらに、特にユーザー フレンドリネスを維持するために 2 要素認証の使用を回避または遅らせるためにこの慣行を採用している一部の大きな認証フレームワークを暗黙的に批判しています。
著者は結論としています:
‘Gummy Browsers の影響は、特にブラウザ フィンガープリントが現実の世界で広く採用され始めていることを考えると、ユーザーのオンライン セキュリティとプライバシーに壊滅的な影響を及ぼす可能性があります。この攻撃の光で、私たちの研究は、ブラウザ フィンガープリントが大規模に展開するのに安全かどうかという疑問を提起します。 ‘
