Connect with us

Nieuwe aanval ‘klont’ en misbruikt uw unieke online-ID via browser-fingerprinting

Cyberbeveiliging

Nieuwe aanval ‘klont’ en misbruikt uw unieke online-ID via browser-fingerprinting

mm
Published
Updated

Onderzoekers hebben een methode ontwikkeld om de kenmerken van een slachtoffers webbrowser te kopiëren met behulp van browser-fingerprinting-technieken, en vervolgens de slachtoffer te ‘imiteren’.

De techniek heeft meerdere beveiligingsimplicaties: de aanvaller kan schadelijke of zelfs illegale online-activiteiten uitvoeren, met het ‘record’ van die activiteiten toegeschreven aan de gebruiker; en twee-factor-authenticatie-verdedigingen kunnen worden ondermijnd, omdat een authenticatie-site denkt dat de gebruiker met succes is herkend, op basis van het gestolen browser-fingerprint-profiel

Bovendien kan de aanvaller ‘s ‘schaduw-kloon’ websites bezoeken die het type advertenties dat aan dat gebruikersprofiel wordt geleverd, veranderen, waardoor de gebruiker ongerelateerde advertentie-inhoud gaat ontvangen in vergelijking met hun daadwerkelijke browse-activiteiten. Bovendien kan de aanvaller veel afleiden over het slachtoffer op basis van de manier waarop andere (onwetende) websites reageren op de vervalste browser-ID.

Het paper heeft als titel Gummy Browsers: Targeted Browser Spoofing against State-of-the-Art Fingerprinting Techniques, en komt van onderzoekers aan de Texas A&M University en de University of Florida at Gainesville.

Overzicht van de Gummy Browsers-methode. Bron:https://arxiv.org/pdf/2110.10129.pdf

Overzicht van de Gummy Browsers-methode. Bron: https://arxiv.org/pdf/2110.10129.pdf

Gummy Browsers

De gelijknamige ‘gummy browsers’ zijn gekloonde kopieën van de slachtoffersbrowser, vernoemd naar de ‘Gummy Fingers’-aanval die in het begin van de jaren 2000 werd gerapporteerd, die de daadwerkelijke vingerafdrukken van het slachtoffer met gelatine-kopieën repliceerde om vingerafdruksystemen te omzeilen.

De auteurs stellen:

‘Het hoofddoel van Gummy Browsers is om de webserver te misleiden om te laten geloven dat een legitieme gebruiker toegang heeft tot zijn diensten, zodat deze gevoelige informatie over de gebruiker kan leren (bijv. interesses van de gebruiker op basis van de gepersonaliseerde advertenties), of om verschillende beveiligingsschema’s te omzeilen (bijv. authenticatie en fraude-opsporing) die afhankelijk zijn van de browser-fingerprinting.’

Zij gaan verder:

‘Helaas identificeren wij een significante dreigingsvector tegen dergelijke koppelalgoritmes. Specifiek vinden wij dat een aanvaller de browser-kenmerken van een slachtoffers browser kan vastleggen en vervalsen, en dus zijn eigen browser kan “presenteren” als de browser van het slachtoffer wanneer hij verbinding maakt met een website.’

De auteurs beweren dat de browser-fingerprint-kloon-technieken die zij hebben ontwikkeld een ‘verwoestende en langdurige impact‘ hebben op de online-privacy en -beveiliging van de gebruikers.

Bij het testen van het systeem tegen twee fingerprinting-systemen, FPStalker en de Electronic Frontier Foundation’s Panopticlick, vonden de auteurs dat hun systeem de vastgelegde gebruikersinformatie succesvol kon simuleren, ondanks dat het systeem niet rekende met verschillende attributen, waaronder TCP/IP-stack fingerprinting, hardware-sensoren en DNS-resolvers.

De auteurs beweren ook dat het slachtoffer volledig onbewust zal zijn van de aanval, waardoor het moeilijk is om deze te omzeilen.

Methodologie

Browser-fingerprinting-profielen worden gegenereerd door meerdere factoren van de manier waarop de gebruikers webbrowser is geconfigureerd. Ironicus genoeg kunnen veel van de verdedigingen die zijn ontworpen om de privacy te beschermen, waaronder het installeren van adblocker-extensies, de browser-fingerprint eigenlijk meer distinct en gemakkelijker te targeten maken.

Browser-fingerprinting is niet afhankelijk van cookies of sessiegegevens, maar biedt een grotendeels onvermijdelijke snapshot van de gebruikersinstellingen aan elk domein dat de gebruiker bezoekt, als dat domein is geconfigureerd om dergelijke informatie te exploiteren.

Away from overtly malicious practices, wordt fingerprinting typisch gebruikt om advertenties aan gebruikers te targeten, voor fraude-opsporing, en voor gebruikersauthenticatie (een reden waarom het toevoegen van extensies of het maken van andere core-wijzigingen in uw browser ertoe kan leiden dat sites om herauthenticatie vragen, op basis van het feit dat uw browserprofiel is veranderd sinds uw laatste bezoek).

De methode die door de onderzoekers wordt voorgesteld, vereist alleen dat het slachtoffer een website bezoekt die is geconfigureerd om hun browser-fingerprint vast te leggen – een praktijk die een recente studie schat op meer dan 10% van de top 100.000 websites, en die deel uitmaakt van Google’s Federated Learning of Cohorts (FLOC), de alternatieve methode van de zoekgigant voor cookie-gebaseerde tracking. Het is ook een centrale technologie in adtech-platforms in het algemeen, waardoor het veel verder reikt dan de 10% van de sites die in de bovengenoemde studie worden geïdentificeerd.

Typische facetten die kunnen worden geëxtraheerd uit een gebruikersbrowser zonder de noodzaak van cookies.

Typische facetten die kunnen worden geëxtraheerd uit een gebruikersbrowser zonder de noodzaak van cookies.

Identificatoren die kunnen worden geëxtraheerd uit een gebruikersbezoek (verzameld via JavaScript-API’s en HTTP-headers) in een kloonbaar browserprofiel, omvatten taalinstellingen, besturingssysteem, browserversies en -extensies, geïnstalleerde plugins, schermresolutie, hardware, kleurdiepte, tijdzone, tijdstempels, geïnstalleerde lettertypen, canvas-kenmerken, user-agent-string, HTTP-aanvraagheaders, IP-adres en apparaat-taalinstellingen, onder andere. Zonder toegang tot veel van deze kenmerken zou een groot deel van de algemeen verwachte webfunctionaliteit niet mogelijk zijn.

Informatie extraheren via ad-netwerkreacties

De auteurs merken op dat advertentiegegevens over het slachtoffer relatief gemakkelijk kunnen worden blootgelegd door hun gekloonde browserprofiel te imiteren, en kunnen nutig worden geëxploiteerd:

‘[Als] de browser-fingerprinting wordt gebruikt voor gepersonaliseerde en gerichte advertenties, zal de webserver, die een onschuldige website host, dezelfde of soortgelijke advertenties naar de aanvallersbrowser sturen als die welke zouden zijn gestuurd naar de browser van het slachtoffer, omdat de webserver de aanvallersbrowser beschouwt als de browser van het slachtoffer. Op basis van de gepersonaliseerde advertenties (bijv. gerelateerd aan producten voor zwangere vrouwen, medicijnen en merken), kan de aanvaller verschillende gevoelige informatie over het slachtoffer afleiden (bijv. geslacht, leeftijdsgroep, gezondheidstoestand, interesses, salarisniveau, etc.), of zelfs een persoonlijk gedragsprofiel van het slachtoffer bouwen.

‘Het lekken van dergelijke persoonlijke en private informatie kan een angstaanjagende privacydreiging vormen voor de gebruiker.’

Aangezien browser-fingerprinten in de loop van de tijd veranderen, zal het gebruiker terug laten komen naar de aanvalswebsite om het gekloonde profiel up-to-date te houden, maar de auteurs beweren dat een eenmalige kloning nog steeds verrassend lange effectieve aanvalstijden kan mogelijk maken.

Gebruikersauthenticatie-spoofing

Het krijgen van een authenticatiesysteem om twee-factor-authenticatie te vermijden is een zegen voor cybercriminelen. Zoals de auteurs van het nieuwe paper opmerken, gebruiken veel huidige authenticatie-(2FA)-kaders een ‘herkend’ afgeleid browserprofiel om het account te koppelen aan de gebruiker. Als de sites authenticatiesystemen tevreden zijn dat de gebruiker probeert in te loggen op een apparaat dat werd gebruikt bij de laatste succesvolle login, kan het, voor gebruikersgemak, geen 2FA eisen.

De auteurs merken op dat Oracle, InAuth en SecureAuth IdP allemaal een vorm van deze ‘check-skipping’ beoefenen, op basis van een gebruikers vastgelegd browserprofiel.

Fraude-opsporing

Verschillende beveiligingsdiensten gebruiken browser-fingerprinting als een instrument om de waarschijnlijkheid te bepalen dat een gebruiker betrokken is bij frauduleuze activiteiten. De onderzoekers merken op dat Seon en IPQualityScore twee dergelijke bedrijven zijn.

Dus is het mogelijk, via de voorgestelde methode, om de gebruiker ten onrechte te karakteriseren als een fraudeur door het ‘schaduwprofiel’ te gebruiken om de drempels van dergelijke systemen te activeren, of om het gestolen profiel te gebruiken als een ‘baard’ voor echte pogingen tot fraude, waardoor de forensische analyse van het profiel wordt afgeleid van de aanvaller en naar het slachtoffer.

Drie aanvalsoppervlakken

Het paper stelt drie manieren voor waarop het Gummy Browser-systeem tegen een slachtoffer kan worden gebruikt: Acquire-Once-Spoof-Once houdt in dat de aanvaller de browser-ID van het slachtoffer overneemt ter ondersteuning van een eenmalige aanval, zoals een poging om toegang te krijgen tot een beveiligd domein in de gedaante van de gebruiker. In dit geval is de ‘leeftijd’ van de ID irrelevant, aangezien de informatie snel wordt geacteerd en zonder follow-up.

In een tweede benadering, Acquire-Once-Spoof-Frequently, zoekt de aanvaller ernaar om een profiel van het slachtoffer te ontwikkelen door te observeren hoe webservers reageren op hun profiel (d.w.z. ad-servers die specifieke soorten inhoud leveren op basis van de veronderstelling van een ‘bekende’ gebruiker die al een browserprofiel heeft dat aan hen is gekoppeld).

Ten slotte is Acquire-Frequently-Spoof-Frequently een langere-termijn-stunt die is ontworpen om het browserprofiel van het slachtoffer regelmatig bij te werken door de gebruiker te laten terugkeren naar de onschuldige exfiltratie-site (die kan zijn ontwikkeld als een nieuwswebsite of blog, bijvoorbeeld). Op deze manier kan de aanvaller fraude-opsporing-spoofing over een langere periode uitvoeren.

Extractie en resultaten

De spoofing-methoden die worden gebruikt door Gummy Browsers bestaan uit script-injectie, gebruik van de browser-instellingen en -debuggingtools, en script-modificatie.

De kenmerken kunnen worden geëxtraheerd met of zonder JavaScript. Bijvoorbeeld, user-agent-headers (die de merknaam van de browser identificeren, zoals Chrome, Firefox, etc.), kunnen worden afgeleid van HTTP-headers, enkele van de meest basale en niet-blokkerbare informatie die nodig is voor functioneel webbrowsen.

Bij het testen van het Gummy Browser-systeem tegen FPStalker en Panopticlick, bereikten de onderzoekers een gemiddelde ‘eigendom’ (van een overgenomen browserprofiel) van meer dan 0,95 over drie fingerprinting-algoritmen, waardoor een werkbaar kloon van de vastgelegde ID ontstond.

Het paper benadrukt de noodzaak voor systeemarchitecten om niet te vertrouwen op browserprofielkenmerken als een beveiligingstoken, en impliciet bekritiseert sommige van de grotere authenticatiekaders die deze praktijk hebben aangenomen, vooral waar het wordt gebruikt als een methode om ‘gebruikersgemak’ te behouden door het gebruik van twee-factor-authenticatie te vermijden of uit te stellen.

De auteurs concluderen:

‘De impact van Gummy Browsers kan verwoestend en langdurig zijn op de online-beveiliging en -privacy van de gebruikers, vooral gezien het feit dat browser-fingerprinting begint te worden breed geadopteerd in de echte wereld. In het licht van deze aanval roept ons werk de vraag op of browser-fingerprinting veilig is om op grote schaal te implementeren.’

Related Topics:
mm

Schrijver over machine learning, domeinspecialist in menselijke beeldsynthese. Voormalig hoofd onderzoekscontent bij Metaphysic.ai.