Cybersikkerhet
Nytt angrep ‘kloner’ og misbruker din unike nett-ID via browser-fingerprinting
Forskere har utviklet en metode for å kopiere karakteristika til et offers nettleser ved hjelp av browser-fingerprinting-teknikker, og deretter ‘imitere’ offeret.
Teknikken har flere sikkerhetsimplikasjoner: Angriperen kan utføre skadelige eller sogar ulovlige nettaktiviteter, med ‘rekorden’ av disse aktivitetene tilskrevet brukeren; og to-faktor autentisering-forsvar kan bli kompromittert, fordi en autentiseringsnettsted tror at brukeren har blitt erfolgreich autentisert, basert på den stjålne browser-fingerprint-profilen
I tillegg kan angriperens ‘skygge-klon’ besøke nettsteder som endrer type annonser som leveres til den brukerprofilen, noe som betyr at brukeren vil begynne å motta annonseringinnhold som ikke er relatert til deres faktiske nettaktiviteter. Videre kan angriperen slutte mye om offeret basert på hvordan andre (uvidende) nettsteder responderer på den spoofede browser-IDen.
Den artikkelen heter Gummy Browsers: Targeted Browser Spoofing against State-of-the-Art Fingerprinting Techniques, og kommer fra forskere ved Texas A&M University og University of Florida at Gainesville.
Oversikt over Gummy Browsers-metodologien. Source: https://arxiv.org/pdf/2110.10129.pdf
Gummy Browsers
De navngitte ‘gummy browsers’ er klonede kopier av offerets nettleser, oppkalt etter ‘Gummy Fingers’-angrepet som ble rapportert tidlig på 2000-tallet, som repliserte offers faktiske fingeravtrykk med gelatinkopier for å bypass fingerprint-ID-systemer.
Forfatterne skriver:
‘Hovedmålet med Gummy Browsers er å lure nettserveren til å tro at en legitim bruker tilgjenger dens tjenester, så den kan lære sensitive informasjon om brukeren (f.eks. interessene til brukeren basert på personlige annonser), eller omgå ulike sikkerhetssystemer (f.eks. autentisering og svindel-avdekning) som avhenger av browser-fingerprinting.’
De fortsetter:
‘Uheldigvis identifiserer vi en betydelig trussel mot slike koblingsalgoritmer. Spesifikt finner vi at en angriper kan fange og spoofe nettleserens karakteristika til et offers nettleser, og derfor kan “presentere” sin egen nettleser som offers nettleser når den kobler til en nettside.’
Forfatterne hevder at browser-fingerprint-kloningsteknikkene de har utviklet truer ‘en ødeleggende og varig innvirkning på nettets personvern og sikkerhet for brukerne’.
Ved å teste systemet mot to fingerprinting-systemer, FPStalker og Electronic Frontier Foundations Panopticlick, fant forfatterne at deres system var i stand til å simulere den fanget brukerinformasjonen med stor suksess nesten alltid, til tross for at systemet ikke tok hensyn til flere attributter, inkludert TCP/IP-stakk fingerprinting, hardware-sensorer og DNS-ressolvere.
Forfatterne hevder også at offeret vil være fullstendig uvisende om angrepet, noe som gjør det vanskelig å omgå.
Metodologi
Browser-fingerprinting-profiler genereres av flere faktorer om hvordan brukerens nettleser er konfigurert. Ironisk nok kan mange av forsvarsmekanismene som er designet for å beskytte personvern, inkludert installering av adblock-utvidelser, faktisk gjøre en nettleser-fingerprint mer distinkt og lettere å målrette.
Browser-fingerprinting avhenger ikke av informasjonskapsler eller sesjonsdata, men tilbyr en stort sett uunngåelig snapshot av brukerens konfigurasjon til enhver domene som brukeren besøker, hvis den domenen er konfigurert for å utnytte slik informasjon.
Borte fra åpenbart skadelige praksiser, brukes fingerprinting vanligvis til å målrette annonser mot brukere, for svindel-avdekning, og for bruker-autentisering (en grunn til at å legge til utvidelser eller gjøre andre grunnleggende endringer i nettleseren kan føre til at nettsteder krever ny autentisering, basert på det faktum at nettleser-profilen har endret seg siden sist besøk).
Metoden foreslått av forskerne krever bare at offeret besøker en nettside som er konfigurert for å registrere deres nettleser-fingerprint – en praksis som en nylig studie estimerte er vanlig på over 10% av de 100 000 beste nettstedene, og som utgjør en del av Googles Federated Learning of Cohorts (FLOC), søkemotorens foreslåtte alternativ til informasjonskapsel-basert sporning. Det er også en sentral teknologi i adtech-plattformer generelt, og derfor når langt mer enn de 10% av nettsteder identifisert i ovennevnte studie.
Typiske aspekter som kan trekkes ut fra en brukers nettleser uten behov for informasjonskapsler.
Identifikatorer som kan trekkes ut fra en brukerbesøk (samlet via JavaScript-APIer og HTTP-headers) inn i en klonbar nettleser-profil inkluderer språkinnstillinger, operativsystem, nettleserversjoner og utvidelser, installerte plugins, skjermoppløsning, maskinvare, fargedybde, tidsone, tidsstempel, installerte fonter, canvas-karakteristika, bruker-agent-streng, HTTP-forespørsler, IP-adresse og enhets-språkinnstillinger, blant andre. Uten tilgang til mange av disse karakteristika ville mye av det vanlige nettfunksjonaliteten ikke være mulig.
Ekstrahering av informasjon via annonsnett-responser
Forfatterne påpeker at annonsdata om offeret er ganske enkelt å avdekke ved å imitere deres fanget nettleser-profil, og kan nyttig utnyttes:
‘[Hvis] nettleser-fingerprinting brukes for personlige og målrettede annonser, vil nettserveren som hoster en harmløs nettside, pushe samme eller lignende annonser til angriperens nettleser som de som ville blitt pusht til offers nettleser, fordi nettserveren regner angriperens nettleser som offers nettleser. Basert på personlige annonser (f.eks. relatert til svangerskapsprodukter, medisiner og merker), kan angriperen slutte mye om offeret (f.eks. kjønn, aldersgruppe, helseforhold, interesser, lønnsnivå osv.), og til og med bygge en personlig atferdsprofil av offeret.
‘Lekkasjen av slik personlig og privat informasjon kan reise en fryktelig personvern-trussel for brukeren.’
Siden nettleser-fingeravtrykk endrer seg over tid, vil å holde brukeren komme tilbake til angrepsnettsiden holde den klonede profilen oppdatert, men forfatterne hevder at en enkelt kloning kan likevel muliggjøre overraskende lange effektive angrepsperioder.
Bruker-autentisering-spoofing
Å få et autentiseringssystem til å avvise to-faktor-autentisering er en gevinst for cyber-kriminelle. Som forfatterne av den nye artikkelen påpeker, bruker mange nåværende autentiseringsrammer (2FA) en ‘gjenkjent’ antatt nettleser-profil for å assosiere kontoen med brukeren. Hvis nettstedets autentiseringssystemer er tilfreds med at brukeren prøver å logge inn på en enhet som ble brukt ved siste vellykkede innlogging, kan det, for brukerens behag, ikke kreve 2FA.
Forfatterne observerer at Oracle, InAuth og SecureAuth IdP alle praktiserer en form for denne ‘kontroll-hoppingen’, basert på en brukers registrerte nettleser-profil.
Svindel-avdekning
Flere sikkerhetstjenester bruker nettleser-fingerprinting som et verktøy for å bestemme sannsynligheten for at en bruker er engasjert i svindelaktiviteter. Forskerne påpeker at Seon og IPQualityScore er to slike selskaper.
Derfor er det mulig, gjennom den foreslåtte metodologien, å enten urettferdig karakterisere brukeren som en svindler ved å bruke ‘skygge-profilen’ for å utløse terskler for slike systemer, eller å bruke den stjålne profilen som en ‘skjegg’ for ekte forsøk på svindel, og avlede forensisk analyse av profilen bort fra angriperen og mot offeret.
Tre angrepsflater
Artikkelen foreslår tre måter som Gummy Browser-systemet kan brukes mot et offer: Acquire-Once-Spoof-Once innebærer å tilegne seg offers nettleser-ID i støtte for en enkeltangrep, som et forsøk på å få tilgang til et beskyttet domene i forkledning som brukeren. I dette tilfelle er ‘alderen’ til IDen irrelevant, siden informasjonen handles raskt og uten oppfølging.
I en annen tilnærming, Acquire-Once-Spoof-Frequently, søker angriperen å utvikle en profil av offeret ved å observere hvordan nettservere responderer på deres profil (dvs. annonseservere som leverer spesifikke typer innhold på antagelsen av en ‘kjent’ bruker som allerede har en nettleser-profil assosiert med dem).
Til slutt er Acquire-Frequently-Spoof-Frequently en lengrevarig plan designet for å regelmessig oppdatere offers nettleser-profil ved å få offeret til å gjenta besøket på det harmløse eksfiltreringsnettsiden (som kan ha blitt utviklet som en nyhetsnettside eller blogg, for eksempel). På denne måten kan angriperen utføre svindel-avdekning-spoofing over en lengre periode.
Ekstrahering og resultater
Spoofing-metodene brukt av Gummy Browsers består av script-injeksjon, bruk av nettleserens innstillinger og feilsøkingsverktøy, og script-modifisering.
Karakteristika kan eksfiltreres med eller uten JavaScript. For eksempel kan bruker-agent-headers (som identifiserer nettlesermerket, som Chrome, Firefox osv.), bli avledet fra HTTP-headers, noen av de mest grunnleggende og ikke-blokkerbare informasjonene som er nødvendig for funksjonell nettlesing.
Ved å teste Gummy Browser-systemet mot FPStalker og Panopticlick, oppnådde forskerne en gjennomsnittlig ‘eierskap’ (av en appropriert nettleser-profil) på over 0,95 over tre fingerprinting-algoritmer, og effektive kloning av den fanget IDen.
Artikkelen understreker behovet for systemarkitekter å ikke stole på nettleser-profil-karakteristika som en sikkerhetstoken, og implisitt kritisere noen av de større autentiseringsrammene som har adoptert denne praksisen, spesielt der det brukes som en metode for å opprettholde ‘bruker-vennlig’ ved å avvise eller utsette bruk av to-faktor-autentisering.
Forfatterne konkluderer:
‘Innvirkningen av Gummy Browsers kan være ødeleggende og varig på nettets sikkerhet og personvern for brukerne, spesielt gitt at nettleser-fingerprinting begynner å bli bredt adoptert i den virkelige verden. I lys av dette angrepet, stiller vårt arbeid spørsmålet om hvorvidt nettleser-fingerprinting er trygg å distribuere på stor skala.’
