새로운 공격 '클론' 및 브라우저 핑거프린팅을 통한 고유 온라인 ID 남용

연구원들은 브라우저 핑거프린팅 기술을 사용하여 피해자의 웹 브라우저 특성을 복사한 후 피해자를 '사칭'하는 방법을 개발했습니다.

이 기술에는 여러 가지 보안 관련 사항이 있습니다. 공격자는 사용자에게 귀속된 이러한 활동의 ​​'기록'을 사용하여 손상을 입히거나 심지어 불법적인 온라인 활동을 수행할 수 있습니다. 인증 사이트는 도난당한 브라우저 지문 프로필을 기반으로 사용자가 성공적으로 인식되었다고 믿기 때문에 XNUMX단계 인증 방어가 손상될 수 있습니다.

또한 공격자의 '쉐도우 클론'은 해당 사용자 프로필에 전달되는 광고의 종류를 변경하는 사이트를 방문할 수 있습니다. 즉, 사용자는 실제 브라우징 활동과 관련 없는 광고 콘텐츠를 수신하기 시작합니다. 또한 공격자는 스푸핑된 브라우저 ID에 응답하는 다른(눈에 띄지 않는) 웹 사이트를 기반으로 피해자에 대해 많은 것을 추론할 수 있습니다.

XNUMXD덴탈의 종이 제목이 구미 브라우저: 최첨단 지문 인식 기술에 대한 표적 브라우저 스푸핑, 텍사스 A&M 대학과 게인즈빌 플로리다 대학의 연구원들이 제공합니다.

구미 브라우저

같은 이름의 '구미 브라우저'는 2000년대 초에 보고된 '구미 핑거스' 공격의 이름을 딴 피해자 브라우저의 복제본입니다. 복제된 피해자의 실제 지문 지문 ID 시스템을 우회하기 위해 젤라틴 사본을 사용합니다.

저자는 다음과 같이 말합니다.

Gummy 브라우저의 주요 목표는 합법적인 사용자가 서비스에 액세스하고 있다고 믿도록 웹 서버를 속여 사용자에 대한 민감한 정보(예: 개인화된 광고를 기반으로 한 사용자의 관심사)를 알거나 다양한 브라우저 지문에 의존하는 보안 체계(예: 인증 및 사기 탐지).'

계속:

'안타깝게도 우리는 이러한 연결 알고리즘에 대해 중요한 위협 벡터를 식별합니다. 특히 우리는 공격자가 피해자 브라우저의 브라우저 특성을 캡처하고 스푸핑할 수 있으므로 웹사이트에 연결할 때 자신의 브라우저를 피해자의 브라우저로 "제시"할 수 있음을 발견했습니다.'

저자는 그들이 개발한 브라우저 지문 복제 기술이 위협적이라고 주장합니다. '사용자의 온라인 개인 정보 및 보안에 대한 파괴적이고 지속적인 영향'.

두 개의 지문 인식 시스템에 대해 시스템을 테스트할 때, FPS토커 전자 프론티어 재단의 Panopticlick, 작성자는 시스템이 TCP/IP 스택을 포함한 여러 속성을 고려하지 않음에도 불구하고 거의 항상 캡처된 사용자 정보를 성공적으로 시뮬레이트할 수 있음을 발견했습니다. 지문, 하드웨어 센서 및 DNS 리졸버.

저자는 또한 피해자가 공격을 완전히 인식하지 못하여 우회하기가 어렵다고 주장합니다.

방법론

브라우저 핑거프린팅 프로필은 사용자의 웹 브라우저 구성 방식의 여러 요소에 의해 생성됩니다. 아이러니하게도 광고 차단 확장 프로그램 설치를 포함하여 개인 정보를 보호하도록 설계된 많은 방어 수단이 실제로 브라우저 지문을 만들 수 있습니다. 더 뚜렷하고 타겟팅하기 쉽습니다..

브라우저 핑거프린팅은 쿠키나 세션 데이터에 의존하지 않고 오히려 대체로 피할 수 없는 해당 도메인이 그러한 정보를 이용하도록 구성된 경우 사용자가 탐색하는 모든 도메인에 대한 사용자 설정의 스냅샷.

노골적으로 악의적인 관행과는 별도로 핑거프린팅은 일반적으로 다음과 같은 용도로 사용됩니다. 목표 사용자에 대한 광고 사기 탐지등에 대한 사용자 인증 (마지막 방문 이후 브라우저 프로필이 변경되었다는 사실을 기반으로 확장 프로그램을 추가하거나 브라우저에 다른 핵심 변경 사항을 적용하면 사이트에서 재인증을 요구할 수 있는 한 가지 이유).

연구원들이 제안한 방법은 피해자가 브라우저 지문을 기록하도록 구성된 웹사이트를 방문하기만 하면 됩니다. 예상 상위 10개 웹사이트 중 100,000% 이상에서 널리 퍼져 있으며, 양식 쿠키 기반 추적에 대한 대안으로 Google이 제안한 FLOC(Federated Learning of Cohorts)의 일부입니다. 그것은 또한 애드테크 플랫폼의 핵심 기술 따라서 일반적으로 위에서 언급한 연구에서 확인된 사이트의 10%보다 훨씬 더 많이 도달합니다.

사용자 방문(JavaScript API 및 HTTP 헤더를 통해 수집)에서 복제 가능한 브라우저 프로필로 추출할 수 있는 식별자에는 언어 설정, 운영 체제, 브라우저 버전 및 확장 프로그램, 설치된 플러그인, 화면 해상도, 하드웨어, 색상 심도, 시간대, 타임스탬프가 포함됩니다. , 설치된 글꼴, 캔버스 특성, 사용자 에이전트 문자열, HTTP 요청 헤더, IP 주소 및 장치 언어 설정 등. 이러한 많은 특성에 액세스하지 않으면 일반적으로 예상되는 많은 웹 기능을 사용할 수 없습니다.

광고 네트워크 응답을 통한 정보 추출

작성자는 피해자에 대한 광고 데이터가 캡처된 브라우저 프로필을 사칭하여 노출되기가 매우 쉽다는 점에 주목합니다. 유용하게 이용:

'[만일] 브라우저 핑거프린팅이 개인화되고 표적화된 광고에 사용된다면, 양성 웹사이트를 호스팅하는 웹 서버는 공격자의 브라우저에 동일하거나 유사한 광고를 푸시할 것입니다. 서버는 공격자의 브라우저를 피해자의 브라우저로 간주합니다. 공격자는 개인화된 광고(예: 임신용품, 약물, 브랜드 관련)를 기반으로 피해자에 대한 다양한 민감한 정보(예: 성별, 연령대, 건강 상태, 관심사, 급여 수준 등)를 유추할 수 있습니다. 피해자의 개인 행동 프로필.

'이러한 개인정보 및 사적인 정보의 유출은 사용자에게 무서운 개인정보 위협을 가할 수 있습니다.'

브라우저 지문은 시간이 지남에 따라 변하기 때문에 사용자가 공격 사이트를 다시 방문하게 하면 복제된 프로필이 최신 상태로 유지되지만 저자는 일회성 복제로 놀라울 정도로 장기간 효과적인 공격 기간을 가능하게 할 수 있다고 주장합니다.

사용자 인증 스푸핑

2단계 인증을 피하기 위해 인증 시스템을 확보하는 것은 사이버 범죄자에게 큰 도움이 됩니다. 새 논문의 저자는 현재 많은 인증(2FA) 프레임워크가 '인식된' 추론 브라우저 프로필을 사용하여 계정을 사용자와 연결한다고 밝혔습니다. 사이트의 인증 시스템에서 사용자가 마지막 로그인에 성공한 장치에서 로그인을 시도하고 있다고 판단되면 사용자 편의를 위해 XNUMXFA를 요구하지 않을 수 있습니다.

저자들은 신탁, 인증됨 및 보안 인증 IdP 모두 사용자의 기록된 브라우저 프로필을 기반으로 이러한 '체크 건너뛰기' 형식을 실행합니다.

사기 탐지

다양한 보안 서비스는 브라우저 핑거프린팅을 도구로 사용하여 사용자가 사기 행위에 연루되었을 가능성을 판단합니다. 연구원들은 선 및 IP품질점수 그런 회사가 두 곳이다.

따라서 제안된 방법론을 통해 '그림자 프로필'을 사용하여 이러한 시스템의 임계값을 트리거함으로써 사용자를 사기로 부당하게 특성화하거나 도난당한 프로필을 진정한 사기 시도를 위한 '수염'으로 사용할 수 있습니다. , 프로필의 포렌식 분석이 공격자로부터 피해자 쪽으로 편향됩니다.

세 가지 공격 표면

이 논문은 구미 브라우저 시스템이 피해자에게 사용될 수 있는 세 가지 방법을 제안합니다. XNUMX회 스푸핑 XNUMX회 획득 사용자를 가장하여 보호된 도메인에 액세스하려는 시도와 같은 일회성 공격을 지원하기 위해 피해자의 브라우저 ID를 도용하는 것과 관련됩니다. 이 경우 정보가 후속 조치 없이 신속하게 처리되기 때문에 ID의 '나이'는 관련이 없습니다.

두 번째 접근법에서, 한 번-스푸핑-자주 획득, 공격자는 웹 서버가 자신의 프로필에 어떻게 반응하는지 관찰하여 피해자의 프로필을 개발하려고 합니다(예: 이미 연결된 브라우저 프로필이 있는 '익숙한' 사용자를 가정하여 특정 유형의 콘텐츠를 제공하는 광고 서버). .

마지막으로, 획득-자주-스푸핑-자주 피해자가 무해한 유출 사이트(예: 뉴스 사이트 또는 블로그로 개발되었을 수 있음)를 반복적으로 방문하도록 하여 피해자의 브라우저 프로필을 정기적으로 업데이트하도록 고안된 장기적인 계략입니다. 이러한 방식으로 공격자는 장기간에 걸쳐 사기 탐지 스푸핑을 실행할 수 있습니다.

추출 및 결과

구미 브라우저에서 사용하는 스푸핑 방법은 스크립트 삽입, 브라우저 설정 및 디버깅 도구 사용, 스크립트 수정으로 구성됩니다.

JavaScript를 사용하거나 사용하지 않고 특성을 유출할 수 있습니다. 예를 들어 사용자 에이전트 헤더(예: 브라우저 브랜드를 식별하는 크롬, 파이어 폭스, et al.)은 기능적인 웹 브라우징에 필요한 가장 기본적이고 차단 불가능한 정보인 HTTP 헤더에서 파생될 수 있습니다.

FPStalker 및 Panopticlick에 대한 Gummy Browser 시스템 테스트에서 연구원들은 세 가지 지문 인식 알고리즘에서 0.95 이상의 평균 '소유권'(적절한 브라우저 프로필의)을 달성하여 캡처된 ID의 실행 가능한 복제본에 영향을 미쳤습니다.

이 백서는 시스템 설계자가 보안 토큰으로 브라우저 프로필 특성에 의존하지 않아야 할 필요성을 강조하고, 특히 '사용자 친화성'을 유지하는 방법으로 사용되는 경우 이러한 관행을 채택한 더 큰 인증 프레임워크 중 일부를 암묵적으로 비판합니다. XNUMX단계 인증 사용을 방지하거나 연기합니다.

저자들은 다음과 같이 결론 지었다.

'구미 브라우저의 영향은 특히 브라우저 지문이 현실 ​​세계에서 널리 채택되기 시작했다는 점을 고려할 때 사용자의 온라인 보안 및 개인 정보 보호에 치명적이고 오래 지속될 수 있습니다. 이 공격에 비추어 볼 때 우리 작업은 브라우저 핑거프린팅이 대규모로 배포하기에 안전한지에 대한 의문을 제기합니다.'