ciot Noul atac „clonează” și abuzează ID-ul dvs. unic online prin amprentarea browserului - Unite.AI
Conectează-te cu noi
   Securitate cibernetică  
Noul atac „clonează” și abuzează ID-ul dvs. unic online prin amprentarea prin browser
 mm
Publicat
 de ani în urmă 3
 on
   
 
Cercetătorii au dezvoltat o metodă pentru a copia caracteristicile browserului web al unei victime utilizând tehnici de amprentare a browserului și, ulterior, „se uzurpa identitatea” victimei.
Tehnica are multiple implicații de securitate: atacatorul poate desfășura activități online dăunătoare sau chiar ilegale, „înregistrarea” acelor activități fiind atribuită utilizatorului; iar apărările de autentificare cu doi factori pot fi compromise, deoarece un site de autentificare consideră că utilizatorul a fost recunoscut cu succes, pe baza profilului de amprentă a browserului furat
În plus, „clona din umbră” a atacatorului poate vizita site-uri care modifică tipul de reclame livrate către acel profil de utilizator, ceea ce înseamnă că utilizatorul va începe să primească conținut publicitar care nu are legătură cu activitățile lor reale de navigare. Mai mult, atacatorul poate deduce multe despre victimă pe baza modului în care alte site-uri web (inconsecvente) răspund la ID-ul browserului falsificat.
 hârtie se intitulează Browsere Gummy: Spoofing direcționat al browserului împotriva tehnicilor de ultimă generație de amprentareși provine de la cercetătorii de la Universitatea Texas A&M și de la Universitatea din Florida din Gainesville.
Prezentare generală a metodologiei Gummy Browsers. Sursa:https://arxiv.org/pdf/2110.10129.pdf
 Prezentare generală a metodologiei Gummy Browsers.  Sursă: https://arxiv.org/pdf/2110.10129.pdf
Browsere Gummy
„Browserele gummy” omonime sunt copii clonate ale browserului victimei, numite după atacul „Gummy Fingers” raportat la începutul anilor 2000, care amprentele reale ale victimei replicate cu copii din gelatină pentru a ocoli sistemele de identificare a amprentelor.
Autorii afirmă:
„Scopul principal al Gummy Browsers este de a păcăli serverul web să creadă că un utilizator legitim accesează serviciile sale, astfel încât să poată afla informații sensibile despre utilizator (de exemplu, interesele utilizatorului pe baza reclamelor personalizate) sau să ocolească diverse scheme de securitate (de exemplu, autentificare și detectarea fraudei) care se bazează pe amprentarea browserului.'
Acestea continuă:
„Din păcate, identificăm un vector de amenințare semnificativ împotriva unor astfel de algoritmi de legătură. Mai exact, constatăm că un atacator poate captura și falsifica caracteristicile browserului unei victime și, prin urmare, își poate „prezenta” propriul browser ca browser al victimei atunci când se conectează la un site web”.
Autorii susțin că tehnicile de clonare a amprentei de browser pe care le-au dezvoltat amenință „un impact devastator și de durată asupra confidențialității și securității online a utilizatorilor”.
La testarea sistemului împotriva a două sisteme de amprentare, FPStalker și Fundația Electronic Frontier Panopticclic, autorii au descoperit că sistemul lor a fost capabil să simuleze cu succes informațiile de utilizator capturate aproape tot timpul, în ciuda faptului că sistemul nu ține cont pentru mai multe atribute, inclusiv stiva TCP/IP amprentare, senzori hardware și rezolutori DNS.
Autorii susțin, de asemenea, că victima va fi complet ignorantă de atac, ceea ce face dificil de ocolit.
Metodologie
Amprenta prin browser profilurile sunt generate de mai mulți factori ai modului în care este configurat browserul web al utilizatorului. În mod ironic, multe dintre apărările concepute pentru a proteja confidențialitatea, inclusiv instalarea de extensii de blocare a anunțurilor, pot face de fapt o amprentă a browserului. mai distincte și mai ușor de vizat.
Amprentarea browserului nu depinde de cookie-uri sau de datele de sesiune, ci oferă mai degrabă o în mare măsură inevitabil instantaneu al configurației utilizatorului pentru orice domeniu pe care utilizatorul îl navighează, dacă acel domeniu este configurat să exploateze astfel de informații.
Departe de practicile în mod evident rău intenționate, amprentarea este de obicei obișnuită ţintă reclame la utilizatori, pt detectarea fraudei, Și pentru autentificarea utilizatorului (un motiv pentru care adăugarea de extensii sau efectuarea altor modificări de bază în browserul dvs. poate determina site-urile să solicite re-autentificare, pe baza faptului că profilul dvs. de browser s-a schimbat de la ultima vizită).
Metoda propusă de cercetători necesită doar ca victima să viziteze un site web configurat pentru a-și înregistra amprenta browserului - o practică pe care un studiu recent estimativ este răspândită pe mai mult de 10% din primele 100,000 de site-uri web și care formulare parte a Federated Learning of Cohorts (FLOC) de la Google, alternativa propusă de gigantul căutării la urmărirea bazată pe cookie-uri. Este, de asemenea, un tehnologie centrală în platformele adtech în general, ajungând deci cu mult peste 10% din situri identificate în studiul mai sus menționat.
Fațete tipice care pot fi extrase din browserul unui utilizator fără a fi nevoie de cookie-uri.
 Fațete tipice care pot fi extrase din browserul unui utilizator fără a fi nevoie de cookie-uri.
Identificatorii care pot fi extrași dintr-o vizită de utilizator (colectați prin intermediul API-urilor JavaScript și antetelor HTTP) într-un profil de browser clonabil includ setările de limbă, sistemul de operare, versiunile și extensiile de browser, pluginurile instalate, rezoluția ecranului, hardware-ul, adâncimea culorii, fusul orar, marcajele de timp , fonturi instalate, caracteristici canvas, șir user-agent, antete de solicitare HTTP, adresa IP și setările de limbă a dispozitivului, printre altele. Fără acces la multe dintre aceste caracteristici, o mulțime de funcționalități web așteptate în mod obișnuit nu ar fi posibile.
Extragerea informațiilor prin răspunsurile rețelei publicitare 
Autorii notează că datele publicitare despre victimă sunt destul de ușor de expus prin uzurparea identității profilului de browser capturat și pot fi exploatat cu folos:
„[Dacă] amprenta browserului este folosită pentru reclame personalizate și direcționate, serverul web, care găzduiește un site web benign, ar trimite reclame identice sau similare către browserul atacatorului, precum cele care ar fi fost trimise în browserul victimei, deoarece web-ul serverul consideră browserul atacatorului drept browserul victimei. Pe baza reclamelor personalizate (de exemplu, legate de produse pentru sarcină, medicamente și mărci), atacatorul poate deduce diverse informații sensibile despre victimă (de exemplu, sex, grupă de vârstă, stare de sănătate, interese, nivel de salariu etc.), chiar și să construiască un profilul comportamental personal al victimei. 
„Scurgerea unor astfel de informații personale și private poate ridica o amenințare înfricoșătoare pentru confidențialitate pentru utilizator.”
Deoarece amprentele browserului se schimbă în timp, menținerea revenirii utilizatorului la site-ul de atac va menține actualizat profilul clonat, dar autorii susțin că o clonare unică poate permite încă perioade de atac surprinzător de lungi.
Spoofing autentificarea utilizatorului
Obținerea unui sistem de autentificare pentru a evita autentificarea cu doi factori este un avantaj pentru infractorii cibernetici. După cum notează autorii noii lucrări, multe cadre actuale de autentificare (2FA) folosesc un profil de browser dedus „recunoscut” pentru a asocia contul cu utilizatorul. Dacă sistemele de autentificare ale site-ului sunt satisfăcute că utilizatorul încearcă să se autentifice pe un dispozitiv care a fost utilizat la ultima conectare reușită, este posibil ca, pentru confortul utilizatorului, să nu solicite 2FA.
Autorii observă că Oracol, InAuth și SecureAuth IdP toți practică o anumită formă a acestei „sărire a verificărilor”, pe baza profilului de browser înregistrat al unui utilizator.
Detectarea fraudei
Diverse servicii de securitate folosesc amprenta browserului ca instrument pentru a determina probabilitatea ca un utilizator să fie implicat în activități frauduloase. Cercetătorii notează că Seon și IPQualityScore sunt două astfel de companii.
Astfel, este posibil, prin metodologia propusă, fie să se caracterizeze pe nedrept utilizatorul drept fraudă prin folosirea „profilului umbră” pentru a declanșa pragurile unor astfel de sisteme, fie să se folosească profilul furat ca „barbă” pentru încercări reale de fraudă. , abaterea analizei criminalistice a profilului departe de atacator și spre victimă.
Trei suprafețe de atac
Lucrarea propune trei moduri prin care sistemul Gummy Browser poate fi folosit împotriva unei victime: Achiziționează-O dată-Spoof-O dată implică însuşirea ID-ului de browser al victimei în sprijinul unui atac unic, cum ar fi o încercare de a obţine acces la un domeniu protejat sub masca utilizatorului. În acest caz, „vârsta” actului de identitate este irelevantă, deoarece informațiile sunt acționate rapid și fără urmărire.
Într-o a doua abordare, Achiziționează-O dată-Spoof-Frecvent, atacatorul caută să dezvolte un profil al victimei observând modul în care serverele web răspund la profilul lor (adică serverele de anunțuri care furnizează anumite tipuri de conținut pe presupunerea unui utilizator „familiar” care are deja asociat un profil de browser) .
În cele din urmă, Achiziționează-frecvent-Spoof-frecvent este un truc pe termen mai lung, conceput pentru a actualiza în mod regulat profilul de browser al victimei, făcându-i ca victima să-și repete vizita pe site-ul de exfiltrare inofensiv (care ar fi putut fi dezvoltat ca site de știri sau blog, de exemplu). În acest fel, atacatorul poate executa falsificarea de detectare a fraudei pe o perioadă mai lungă de timp.
Extracție și rezultate
Metodele de falsificare utilizate de Gummy Browser includ injectarea de scripturi, utilizarea instrumentelor de setare și depanare ale browserului și modificarea scriptului.
Caracteristicile pot fi exfiltrate cu sau fără JavaScript. De exemplu, antetele user-agent (care identifică marca browserului, cum ar fi Chrome, Firefox, et al.), pot fi derivate din anteturile HTTP, unele dintre cele mai elementare și neblocabile informații necesare pentru navigarea funcțională pe web.
Testând sistemul Gummy Browser împotriva FPStalker și Panopticlick, cercetătorii au obținut o „proprietate” medie (a unui profil de browser adecvat) de peste 0.95 în trei algoritmi de amprentare, realizând o clonă funcțională a ID-ului capturat.
Lucrarea subliniază necesitatea ca arhitecții de sisteme să nu se bazeze pe caracteristicile profilului browserului ca simbol de securitate și critică implicit unele dintre cadrele de autentificare mai mari care au adoptat această practică, mai ales acolo unde este folosită ca metodă de menținere a „userului de utilizator” de către evitarea sau amânarea utilizării autentificării cu doi factori.
Autorii au concluzionat:
„Impactul browserelor Gummy poate fi devastator și de durată asupra securității online și a confidențialității utilizatorilor, mai ales având în vedere că amprentarea browserului începe să fie adoptată pe scară largă în lumea reală. În lumina acestui atac, munca noastră ridică întrebarea dacă amprentarea browserului este sigură de implementat la scară largă”.
 
       
 Subiecte asemănătoare:
 mm
Scriitor despre învățare automată, inteligență artificială și date mari.
 Site personal:  martinanderson.ai
 Contact:  [e-mail protejat]
 Twitter: @manders_ai