stomp Nieuwe aanval 'klonen' en misbruiken uw unieke online-ID via browservingerafdrukken - Unite.AI
Verbind je met ons
   Cybersecurity  
Nieuwe aanval 'kloneert' en misbruikt uw unieke online-ID via browservingerafdrukken
 mm
gepubliceerd
 3 jaar geleden
 on
   
 
Onderzoekers hebben een methode ontwikkeld om met behulp van browser fingerprinting-technieken de kenmerken van de webbrowser van een slachtoffer te kopiëren en zich vervolgens voor te doen als het slachtoffer.
De techniek heeft meerdere beveiligingsimplicaties: de aanvaller kan schadelijke of zelfs illegale online activiteiten uitvoeren, waarbij het 'record' van die activiteiten wordt toegeschreven aan de gebruiker; en tweefactorauthenticatieverdediging kan worden gecompromitteerd, omdat een authenticerende site denkt dat de gebruiker met succes is herkend, op basis van het gestolen browservingerafdrukprofiel
Bovendien kan de 'schaduwkloon' van de aanvaller sites bezoeken die het soort advertenties wijzigen dat aan dat gebruikersprofiel wordt geleverd, wat betekent dat de gebruiker advertentie-inhoud gaat ontvangen die niets te maken heeft met hun daadwerkelijke browse-activiteiten. Bovendien kan de aanvaller veel afleiden over het slachtoffer op basis van de manier waarop andere (onwetende) websites reageren op de vervalste browser-ID.
De papier is getiteld Gummy-browsers: gerichte browser-spoofing tegen geavanceerde vingerafdruktechnieken, en is afkomstig van onderzoekers van de Texas A&M University en de University of Florida in Gainesville.
Overzicht van de Gummy Browsers-methodologie. Bron: https://arxiv.org/pdf/2110.10129.pdf
Overzicht van de Gummy Browsers-methodologie.  Bron: https://arxiv.org/pdf/2110.10129.pdf
Gummy-browsers
De gelijknamige 'gummy browsers' zijn gekloonde kopieën van de browser van het slachtoffer, genoemd naar de 'Gummy Fingers'-aanval die begin jaren 2000 werd gemeld en die gerepliceerde daadwerkelijke vingerafdrukken van het slachtoffer met gelatinekopieën om vingerafdruk-ID-systemen te omzeilen.
De auteurs stellen:
'Het belangrijkste doel van Gummy Browsers is om de webserver voor de gek te houden door te geloven dat een legitieme gebruiker toegang heeft tot zijn diensten, zodat hij gevoelige informatie over de gebruiker te weten kan komen (bijvoorbeeld interesses van de gebruiker op basis van de gepersonaliseerde advertenties), of om verschillende beveiligingsschema's (bijv. authenticatie en fraudedetectie) die afhankelijk zijn van de browservingerafdrukken.'
Ze gaan door:
'Helaas identificeren we een significante dreigingsvector tegen dergelijke koppelingsalgoritmen. We ontdekken met name dat een aanvaller de browserkenmerken van de browser van een slachtoffer kan vastleggen en vervalsen, en zo zijn eigen browser kan "presenteren" als de browser van het slachtoffer wanneer hij verbinding maakt met een website.'
De auteurs beweren dat de technieken voor het klonen van browservingerafdrukken die ze hebben ontwikkeld, bedreigen 'een verwoestende en blijvende impact op de online privacy en veiligheid van de gebruikers'.
Bij het testen van het systeem tegen twee vingerafdruksystemen, FPStalker en die van de Electronic Frontier Foundation Panopticlick, ontdekten de auteurs dat hun systeem de vastgelegde gebruikersinformatie bijna altijd met succes kon simuleren, ondanks dat het systeem geen rekening hield met verschillende attributen, waaronder TCP/IP-stack fingerprinting, hardware sensoren en DNS-resolvers.
De auteurs beweren ook dat het slachtoffer zich totaal niet bewust zal zijn van de aanval, waardoor het moeilijk te omzeilen is.
Methodologie
Browser-vingerafdrukken profielen worden gegenereerd door meerdere factoren van de manier waarop de webbrowser van de gebruiker is geconfigureerd. Ironisch genoeg kunnen veel van de verdedigingen die zijn ontworpen om de privacy te beschermen, inclusief het installeren van adblocking-extensies, daadwerkelijk een browservingerafdruk maken duidelijker en gemakkelijker te targeten.
Browser fingerprinting is niet afhankelijk van cookies of sessiegegevens, maar biedt eerder een grotendeels onvermijdelijk momentopname van de instellingen van de gebruiker voor elk domein dat de gebruiker bezoekt, als dat domein is geconfigureerd om dergelijke informatie te exploiteren.
Weg van openlijk kwaadaardige praktijken, wordt meestal gebruik gemaakt van vingerafdrukken doel advertenties bij gebruikers, voor fraude detectieEn voor gebruikersverificatie (een reden waarom het toevoegen van extensies of het aanbrengen van andere kernwijzigingen in uw browser ertoe kan leiden dat sites opnieuw moeten worden geverifieerd, gebaseerd op het feit dat uw browserprofiel is gewijzigd sinds uw laatste bezoek).
De door de onderzoekers voorgestelde methode vereist alleen dat het slachtoffer een website bezoekt die is geconfigureerd om hun browservingerafdruk op te nemen - een praktijk die een recent onderzoek geschat komt voor op meer dan 10% van de top 100,000 websites, en welke formulieren onderdeel van Google's Federated Learning of Cohorts (FLOC), het door de zoekgigant voorgestelde alternatief voor op cookies gebaseerde tracking. Het is ook een centrale technologie in adtech-platforms in het algemeen, waardoor ze veel meer bereiken dan de 10% van de locaties die in de bovengenoemde studie zijn geïdentificeerd.
Typische facetten die uit de browser van een gebruiker kunnen worden gehaald zonder dat er cookies nodig zijn.
Typische facetten die uit de browser van een gebruiker kunnen worden gehaald zonder dat er cookies nodig zijn.
Identifiers die kunnen worden geëxtraheerd uit een gebruikersbezoek (verzameld via JavaScript API's en HTTP-headers) in een kloonbaar browserprofiel omvatten taalinstellingen, besturingssysteem, browserversies en -extensies, geïnstalleerde plug-ins, schermresolutie, hardware, kleurdiepte, tijdzone, tijdstempels , geïnstalleerde lettertypen, canvaskenmerken, user-agent string, HTTP-aanvraagheaders, IP-adres en apparaattaalinstellingen, onder andere. Zonder toegang tot veel van deze kenmerken zou veel van de algemeen verwachte webfunctionaliteit niet mogelijk zijn.
Informatie extraheren via reacties op het advertentienetwerk 
De auteurs merken op dat advertentiegegevens over het slachtoffer vrij gemakkelijk openbaar kunnen worden gemaakt door zich voor te doen als hun vastgelegde browserprofiel, en dat kan ook nuttig benut:
'[Als] de browservingerafdrukken worden gebruikt voor gepersonaliseerde en gerichte advertenties, zou de webserver, die een goedaardige website host, dezelfde of soortgelijke advertenties naar de browser van de aanvaller sturen, net zoals de advertenties die naar de browser van het slachtoffer zouden zijn gepusht omdat het web server beschouwt de browser van de aanvaller als de browser van het slachtoffer. Op basis van de gepersonaliseerde advertenties (bijvoorbeeld met betrekking tot zwangerschapsproducten, medicijnen en merken) kan de aanvaller verschillende gevoelige informatie over het slachtoffer afleiden (bijvoorbeeld geslacht, leeftijdsgroep, gezondheidstoestand, interesses, salarisniveau, enz.), zelfs een persoonlijk gedragsprofiel van het slachtoffer. 
'Het lekken van dergelijke persoonlijke en privé-informatie kan een angstaanjagende bedreiging vormen voor de privacy van de gebruiker.'
Aangezien browservingerafdrukken in de loop van de tijd veranderen, zal het gekloonde profiel up-to-date blijven door ervoor te zorgen dat de gebruiker terugkeert naar de aanvalssite, maar de auteurs beweren dat een eenmalig klonen nog steeds verrassend langdurige effectieve aanvalsperioden mogelijk kan maken.
Vervalsing van gebruikersverificatie
Een authenticatiesysteem krijgen dat tweefactorauthenticatie vermijdt, is een zegen voor cybercriminelen. Zoals de auteurs van de nieuwe notitie op papier zeggen, gebruiken veel huidige authenticatiekaders (2FA) een 'herkend' afgeleid browserprofiel om het account aan de gebruiker te koppelen. Als de authenticatiesystemen van de site ervan overtuigd zijn dat de gebruiker probeert in te loggen op een apparaat dat werd gebruikt bij de laatste succesvolle login, kan het voor het gemak van de gebruiker geen 2FA vereisen.
Dat constateren de auteurs Oracle, InAuth en SecureAuth-IDP ze oefenen allemaal een of andere vorm van dit 'controle overslaan' uit, op basis van het geregistreerde browserprofiel van een gebruiker.
Fraude detectie
Verschillende beveiligingsdiensten gebruiken browservingerafdrukken als een hulpmiddel om de waarschijnlijkheid vast te stellen dat een gebruiker betrokken is bij frauduleuze activiteiten. Dat constateren de onderzoekers Seon en IPKwaliteitsscore zijn twee van dergelijke bedrijven.
Het is dus mogelijk, via de voorgestelde methodologie, om de gebruiker onterecht als fraudeur te karakteriseren door het 'schaduwprofiel' te gebruiken om de drempels van dergelijke systemen te activeren, of om het gestolen profiel te gebruiken als een 'baard' voor echte pogingen tot fraude. , waardoor forensische analyse van het profiel wordt afgeleid van de aanvaller en naar het slachtoffer.
Drie aanvalsoppervlakken
De paper stelt drie manieren voor waarop het Gummy Browser-systeem tegen een slachtoffer kan worden gebruikt: Verwerven-Once-Spoof-Once omvat het toe-eigenen van de browser-ID van het slachtoffer ter ondersteuning van een eenmalige aanval, zoals een poging om toegang te krijgen tot een beschermd domein onder het mom van de gebruiker. In dit geval is de 'ouderdom' van het ID niet relevant, aangezien de informatie snel en zonder follow-up wordt opgevolgd.
In een tweede benadering Acquire-Once-Spoof-Frequent, probeert de aanvaller een profiel van het slachtoffer te ontwikkelen door te observeren hoe webservers reageren op hun profiel (dwz advertentieservers die specifieke soorten inhoud leveren in de veronderstelling dat het een 'bekende' gebruiker is die al een browserprofiel aan zich heeft gekoppeld) .
Tenslotte Acquire-Frequent-Spoof-Frequent is een langetermijntruc die is ontworpen om het browserprofiel van het slachtoffer regelmatig bij te werken door het slachtoffer zijn bezoek aan de onschuldige exfiltratiesite (die bijvoorbeeld is ontwikkeld als nieuwssite of blog) te laten herhalen. Op deze manier kan de aanvaller over een langere periode fraudedetectie-spoofing uitvoeren.
Extractie en resultaten
De spoofing-methoden die door Gummy Browsers worden gebruikt, omvatten scriptinjectie, het gebruik van de instellings- en foutopsporingstools van de browser en scriptaanpassing.
De kenmerken kunnen worden geëxfiltreerd met of zonder JavaScript. User-agent-headers (die het merk van de browser identificeren, zoals Chrome, Firefox, et al.), kunnen worden afgeleid van HTTP-headers, enkele van de meest elementaire en niet-blokkeerbare informatie die nodig is voor functioneel surfen op het web.
Bij het testen van het Gummy Browser-systeem tegen FPStalker en Panopticlick bereikten de onderzoekers een gemiddeld 'bezit' (van een toegeëigend browserprofiel) van meer dan 0.95 over drie algoritmen voor vingerafdrukken, waardoor een werkbare kloon van de vastgelegde ID tot stand kwam.
De paper benadrukt de noodzaak voor systeemarchitecten om niet te vertrouwen op de kenmerken van browserprofielen als beveiligingstoken, en bekritiseert impliciet enkele van de grotere authenticatiekaders die deze praktijk hebben overgenomen, vooral waar het wordt gebruikt als een methode om 'gebruikersvriendelijkheid' te behouden door het voorkomen of uitstellen van het gebruik van tweefactorauthenticatie.
De auteurs concluderen:
'De impact van Gummy Browsers kan verwoestend en blijvend zijn voor de online veiligheid en privacy van de gebruikers, vooral gezien het feit dat browservingerafdrukken in de echte wereld wijdverbreid beginnen te worden. In het licht van deze aanval roept ons werk de vraag op of het veilig is om browservingerafdrukken op grote schaal toe te passen.'
 
       
 Gerelateerde onderwerpen:
 mm
Schrijver over machine learning, kunstmatige intelligentie en big data.
 Persoonlijke site:  martinanderson.ai
 Contact:  [e-mail beveiligd]
 Twitter: @manders_ai