Jauni uzbrūk “kloni” un ļaunprātīgi izmanto jūsu unikālo tiešsaistes ID, izmantojot pārlūkprogrammas pirkstu nospiedumus

Pētnieki ir izstrādājuši metodi, kā kopēt upura tīmekļa pārlūkprogrammas īpašības, izmantojot pārlūkprogrammas pirkstu nospiedumu noņemšanas paņēmienus, un pēc tam “uzdoties” par upuri.

Šim paņēmienam ir vairākas drošības sekas: uzbrucējs var veikt kaitīgas vai pat nelikumīgas darbības tiešsaistē, un šo darbību “ieraksts” tiek attiecināts uz lietotāju; un var tikt apdraudēta divu faktoru autentifikācijas aizsardzība, jo autentifikācijas vietne uzskata, ka lietotājs ir veiksmīgi atpazīts, pamatojoties uz nozagto pārlūkprogrammas pirkstu nospiedumu profilu.

Turklāt uzbrucēja “ēnu klons” var apmeklēt vietnes, kas maina šim lietotāja profilam piegādāto reklāmu veidu, kas nozīmē, ka lietotājs sāks saņemt reklāmas saturu, kas nav saistīts ar viņa faktiskajām pārlūkošanas darbībām. Turklāt uzbrucējs var daudz secināt par upuri, pamatojoties uz veidu, kā citas (neaizmirstamas) vietnes reaģē uz viltotu pārlūkprogrammas ID.

Jūsu darbs IR Klientu apkalpošana papīrs tiek nosaukts Sveķainas pārlūkprogrammas: mērķtiecīga pārlūkprogrammu viltošana pret jaunākajām pirkstu nospiedumu noņemšanas metodēm, un nāk no pētniekiem Teksasas A&M universitātē un Floridas Universitātē Geinsvilā.

Sveķainas pārlūkprogrammas

Tā paša nosaukuma “sveķainās pārlūkprogrammas” ir upura pārlūkprogrammas klonētas kopijas, kas nosauktas pēc “Gummy Fingers” uzbrukuma, par kuru tika ziņots 2000. gadu sākumā. replicēja upura faktiskos pirkstu nospiedumus ar želatīna kopijām, lai apietu pirkstu nospiedumu ID sistēmas.

Autori norāda:

"Gummy Browsers galvenais mērķis ir apmānīt tīmekļa serveri, liekot tiem domāt, ka likumīgs lietotājs piekļūst tā pakalpojumiem, lai tas varētu uzzināt sensitīvu informāciju par lietotāju (piemēram, lietotāja intereses, pamatojoties uz personalizētajām reklāmām), vai apiet dažādas drošības shēmas (piemēram, autentifikācija un krāpšanas atklāšana), kas balstās uz pārlūkprogrammas pirkstu nospiedumu noņemšanu.

Viņi turpina:

"Diemžēl mēs identificējam būtisku draudu vektoru pret šādiem saistīšanas algoritmiem. Konkrēti, mēs atklājam, ka uzbrucējs var tvert un viltot upura pārlūkprogrammas pārlūkprogrammas īpašības un tādējādi var “uzrādīt” savu pārlūkprogrammu kā upura pārlūkprogrammu, kad izveido savienojumu ar vietni.

Autori apgalvo, ka viņu izstrādātās pārlūkprogrammas pirkstu nospiedumu klonēšanas metodes apdraud “postoša un ilgstoša ietekme uz lietotāju privātumu un drošību tiešsaistē”.

Pārbaudot sistēmu pret divām pirkstu nospiedumu noņemšanas sistēmām, FPStalker un Electronic Frontier Foundation Panopticlick, autori atklāja, ka viņu sistēma spēj gandrīz visu laiku veiksmīgi simulēt uzņemto lietotāja informāciju, neskatoties uz to, ka sistēma neņem vērā vairākus atribūtus, tostarp TCP/IP steku. pirkstu nospiedumu, aparatūras sensori un DNS atrisinātāji.

Autori arī apgalvo, ka upuris pilnībā neievēros uzbrukumu, padarot to grūti apiet.

Metodoloģija

Pārlūka pirkstu nospiedumu noņemšana profilus ģenerē vairāki faktori, kas saistīti ar lietotāja tīmekļa pārlūkprogrammas konfigurāciju. Ironiski, ka daudzi aizsardzības līdzekļi, kas paredzēti privātuma aizsardzībai, tostarp reklāmu bloķēšanas paplašinājumu instalēšana, faktiski var izveidot pārlūkprogrammas pirkstu nospiedumu. skaidrāks un vieglāk mērķējams.

Pārlūkprogrammas pirkstu nospiedumu noteikšana nav atkarīga no sīkfailiem vai sesijas datiem, bet gan piedāvā a lielā mērā neizbēgami momentuzņēmums par lietotāja iestatījumiem jebkuram domēnam, ko lietotājs pārlūko, ja šis domēns ir konfigurēts šādas informācijas izmantošanai.

Atkāpjoties no atklāti ļaunprātīgas prakses, pirkstu nospiedumu noņemšana parasti tiek izmantota mērķis reklāmas lietotājiem, par krāpšanas atklāšanaun par lietotāju autentifikāciju (viens iemesls, kāpēc paplašinājumu pievienošana vai citu būtisku izmaiņu veikšana pārlūkprogrammā var izraisīt vietņu atkārtotu autentifikāciju, pamatojoties uz faktu, ka jūsu pārlūkprogrammas profils ir mainījies kopš jūsu pēdējā apmeklējuma).

Pētnieku piedāvātā metode prasa tikai, lai upuris apmeklētu vietni, kas ir konfigurēta, lai reģistrētu pārlūkprogrammas pirkstu nospiedumus — šī prakse ir nesenā pētījumā. novērtēts ir izplatīts vairāk nekā 10% no 100,000 XNUMX populārākajām vietnēm, un kuras formas daļa no Google Federated Learning of Cohorts (FLOC), kas ir meklēšanas giganta piedāvātā alternatīva uz sīkfailiem balstītai izsekošanai. Tas ir arī a centrālā tehnoloģija adtech platformās kopumā, tādējādi sasniedzot daudz vairāk nekā 10% no iepriekš minētajā pētījumā identificētajām vietām.

Identifikatori, ko var iegūt no lietotāja apmeklējuma (ievākti, izmantojot JavaScript API un HTTP galvenes) klonējamā pārlūkprogrammas profilā, ietver valodas iestatījumus, operētājsistēmu, pārlūkprogrammas versijas un paplašinājumus, instalētos spraudņus, ekrāna izšķirtspēju, aparatūru, krāsu dziļumu, laika joslu, laika zīmogus. , instalētie fonti, audekla raksturlielumi, lietotāja aģenta virkne, HTTP pieprasījumu galvenes, IP adrese un ierīces valodas iestatījumi un citi. Bez piekļuves daudziem no šiem raksturlielumiem liela daļa parasti paredzēto tīmekļa funkcionalitātes nebūtu iespējama.

Informācijas iegūšana, izmantojot reklāmas tīkla atbildes

Autori atzīmē, ka reklāmas datus par upuri ir diezgan viegli atklāt, uzdodoties par viņu uzņemto pārlūkprogrammas profilu, un to var lietderīgi izmantots:

“[Ja] pārlūkprogrammas pirkstu nospiedumu noņemšanu izmanto personalizētām un mērķētām reklāmām, tīmekļa serveris, kas mitina labdabīgu vietni, uzbrucēja pārlūkprogrammā nosūta tādas pašas vai līdzīgas reklāmas, kādas tiktu nosūtītas upura pārlūkprogrammai, jo tīmeklis serveris uzskata uzbrucēja pārlūkprogrammu par upura pārlūkprogrammu. Pamatojoties uz personalizētajām reklāmām (piemēram, saistībā ar grūtniecības produktiem, medikamentiem un zīmoliem), uzbrucējs var izsecināt dažādu sensitīvu informāciju par upuri (piemēram, dzimums, vecuma grupa, veselības stāvoklis, intereses, algas līmenis utt.), pat izveidot upura personīgais uzvedības profils.

"Šādas personiskas un privātas informācijas noplūde var radīt šausmīgus draudus lietotāja privātumam."

Tā kā pārlūkprogrammas pirkstu nospiedumi laika gaitā mainās, lietotājam atgriežoties uzbrukuma vietnē, klonētais profils tiks atjaunināts, taču autori apgalvo, ka vienreizēja klonēšana joprojām var nodrošināt pārsteidzoši ilgtermiņa efektīvus uzbrukuma periodus.

Lietotāja autentifikācijas viltošana

Autentifikācijas sistēmas iegūšana, lai izvairītos no divu faktoru autentifikācijas, ir svētība kibernoziedzniekiem. Kā atzīmē jaunā dokumenta autori, daudzas pašreizējās autentifikācijas (2FA) sistēmas izmanto “atpazītu” izsecinātu pārlūkprogrammas profilu, lai kontu saistītu ar lietotāju. Ja vietnes autentifikācijas sistēmas ir pārliecinātas, ka lietotājs mēģina pieteikties ierīcē, kas tika izmantota pēdējā veiksmīgajā pieteikšanās reizē, lietotāja ērtībām tā var nepieprasīt 2FA.

Autori to ievēro Orākuls, InAuth un SecureAuth IDP visi izmanto kādu no šīs "čeku izlaišanas" formām, pamatojoties uz lietotāja reģistrēto pārlūkprogrammas profilu.

Krāpšanās atklāšana

Dažādi drošības dienesti izmanto pārlūkprogrammas pirkstu nospiedumu noņemšanu kā rīku, lai noteiktu iespējamību, ka lietotājs ir iesaistīts krāpnieciskās darbībās. Pētnieki to atzīmē Seon un IPQualityScore ir divi šādi uzņēmumi.

Tādējādi, izmantojot piedāvāto metodiku, ir iespējams vai nu netaisnīgi raksturot lietotāju kā krāpnieku, izmantojot “ēnu profilu”, lai aktivizētu šādu sistēmu sliekšņus, vai arī izmantot nozagto profilu kā “bārdu” patiesiem krāpšanas mēģinājumiem. , novirzot profila kriminālistikas analīzi no uzbrucēja un upura virzienā.

Trīs uzbrukuma virsmas

Rakstā ir piedāvāti trīs veidi, kā Gummy Browser sistēmu var izmantot pret upuri: Acquire-Once-Spoof-Oce ietver upura pārlūkprogrammas ID piesavināšanos, lai atbalstītu vienreizēju uzbrukumu, piemēram, mēģinājumu piekļūt aizsargātam domēnam lietotāja aizsegā. Šajā gadījumā ID “vecumam” nav nozīmes, jo informācija tiek apstrādāta ātri un bez papildu kontroles.

Otrajā pieejā Iegādāties-vienreiz-krāpties-bieži, uzbrucējs cenšas izveidot upura profilu, novērojot, kā tīmekļa serveri reaģē uz viņu profilu (ti, reklāmu serveri, kas nodrošina noteikta veida saturu, pieņemot, ka ir “pazīstams” lietotājs, kuram jau ir ar tiem saistīts pārlūkprogrammas profils). .

Visbeidzot, Iegādāties-Bieži-Bieži mānīties ir ilgtermiņa triks, kas paredzēts, lai regulāri atjauninātu upura pārlūkprogrammas profilu, liekot upurim atkārtoti apmeklēt nekaitīgo izfiltrēšanas vietni (kas, iespējams, ir izveidota, piemēram, ziņu vietne vai emuārs). Tādā veidā uzbrucējs var veikt krāpšanas atklāšanas viltojumus ilgākā laika periodā.

Ekstrakcija un rezultāti

Gummy Browsers izmantotās viltošanas metodes ietver skripta ievadīšanu, pārlūkprogrammas iestatījumu un atkļūdošanas rīku izmantošanu un skripta modifikāciju.

Raksturlielumus var izfiltrēt ar JavaScript vai bez tā. Piemēram, lietotāja aģenta galvenes (kas identificē pārlūkprogrammas zīmolu, piemēram, hroms, Firefox, et al.), var iegūt no HTTP galvenēm, kas ir daļa no visvienkāršākās un nebloķējamās informācijas, kas nepieciešama funkcionālai tīmekļa pārlūkošanai.

Pārbaudot Gummy Browser sistēmu pret FPStalker un Panopticlick, pētnieki sasniedza vidējo “īpašumtiesību” (attiecīgajam pārlūkprogrammas profilam) vairāk nekā 0.95, izmantojot trīs pirkstu nospiedumu noņemšanas algoritmus, tādējādi radot funkcionējošu uzņemtā ID klonu.

Rakstā uzsvērta nepieciešamība sistēmu arhitektiem nepaļauties uz pārlūkprogrammas profila īpašībām kā drošības marķieri, un netieši kritizēti daži no lielākajiem autentifikācijas ietvariem, kas pieņēmuši šo praksi, jo īpaši gadījumos, kad to izmanto kā līdzekli, lai uzturētu “lietotājdraudzīgumu” novērst vai atlikt divu faktoru autentifikācijas izmantošanu.

Autori secina:

Gummy Browsers ietekme uz lietotāju tiešsaistes drošību un privātumu var būt postoša un ilgstoša, jo īpaši ņemot vērā to, ka pārlūkprogrammas pirkstu nospiedumu noteikšana reālajā pasaulē sāk plaši izmantot. Ņemot vērā šo uzbrukumu, mūsu darbs rada jautājumu par to, vai pārlūkprogrammas pirkstu nospiedumu noņemšana ir droša plašā mērogā.