Новая атака «клонирует» и злоупотребляет вашим уникальным онлайн-идентификатором через браузерную отпечаток

Исследователи разработали метод копирования характеристик веб-браузера жертвы с помощью техник браузерной отпечатки, и затем «имитировать» жертву.

Техника имеет несколько последствий для безопасности: атакующий может совершать вредоносные или даже незаконные онлайн-активности, и «отчет» об этих действиях будет приписан пользователю; и механизмы двухфакторной аутентификации могут быть скомпрометированы, поскольку аутентифицирующий сайт считает, что пользователь был успешно распознан на основе украденной браузерной отпечатки.

Кроме того, «тень-клон» атакующего может посетить сайты, которые изменяют тип рекламы, доставляемой этому пользовательскому профилю, что означает, что пользователь начнет получать рекламный контент, не связанный с его фактической онлайн-активностью. Кроме того, атакующий может сделать вывод о многих вещах о жертве на основе того, как другие (неосведомленные) веб-сайты реагируют на поддельную браузерную идентификатор.

Документ документ озаглавлен Gummy Browsers: Targeted Browser Spoofing against State-of-the-Art Fingerprinting Techniques, и исходит от исследователей Техасского университета A&M и Университета Флориды в Гейнсвилле.

Обзор методологии Gummy Browsers.  Source: https://arxiv.org/pdf/2110.10129.pdf

Gummy Browsers

Эпонимические «гумовые браузеры» являются клонированными копиями браузера жертвы, названными в честь атаки «Гумовые пальцы», сообщенной в начале 2000-х годов, которая реплицировала фактические отпечатки пальцев жертвы с помощью желатиновых копий, чтобы обойти систему идентификации по отпечаткам пальцев.

Авторы заявляют:

‘Основная цель Gummy Browsers — обмануть веб-сервер, заставив его поверить, что легитимный пользователь доступится к его услугам, чтобы он мог узнать конфиденциальную информацию о пользователе (например, интересы пользователя на основе персонализированной рекламы) или обойти различные схемы безопасности (например, аутентификацию и обнаружение мошенничества), которые полагаются на браузерную отпечатку.’

Они продолжают:

‘К сожалению, мы выявляем значительный вектор угрозы против таких алгоритмов связывания. Конкретно, мы обнаруживаем, что атакующий может захватить и подделать характеристики браузера жертвы и, следовательно, может «представить» свой собственный браузер как браузер жертвы при подключении к веб-сайту.’

Авторы утверждают, что техники клонирования браузерной отпечатки, которые они разработали, угрожают ‘разрушительным и долгосрочным последствиям для онлайн-приватности и безопасности пользователей’.

При тестировании системы против двух систем отпечатки, FPStalker и Panopticlick Электронного фонда границ, авторы обнаружили, что их система смогла успешно симулировать захваченную информацию о пользователе почти все время, несмотря на то, что система не учитывала несколько атрибутов, включая отпечатки стека TCP/IP отпечатки, аппаратуру и DNS-резолверы.

Авторы также утверждают, что жертва будет полностью неосведомлена об атаке, что делает ее трудной для обхода.

Методология

Браузерная отпечатка профиля генерируется несколькими факторами конфигурации веб-браузера пользователя. Иронично, многие из защит, разработанных для защиты приватности, включая установку расширений для блокировки рекламы, могут фактически сделать браузерную отпечатку более отличительной и легкой для нацеливания.

Браузерная отпечатка не зависит от файлов cookie или данных сеанса, но предлагает в значительной степени неизбежный снимок настройки пользователя для любого домена, который пользователь просматривает, если этот домен настроен на использование такой информации.

Отклоняясь от откровенно злонамеренных практик, отпечатка обычно используется для нацеливания рекламы на пользователей, для обнаружения мошенничества и для аутентификации пользователя (одна из причин, почему добавление расширений или внесение других основных изменений в браузер может вызвать требование повторной аутентификации, основанное на том, что профиль браузера изменился с момента последнего посещения).

Метод, предложенный исследователями, требует только того, чтобы жертва посетила веб-сайт, настроенный на запись ее браузерной отпечатки — практику, которую недавнее исследование оценило как распространенную на более чем 10% из 100 000 лучших веб-сайтов, и которая является частью Federated Learning of Cohorts (FLOC) Google, предложенного альтернативного подхода к отслеживанию на основе файлов cookie. Это также центральная технология в платформах adtech в целом, поэтому охватывает гораздо больше, чем 10% сайтов, выявленных в вышеупомянутом исследовании.

Типичные аспекты, которые можно извлечь из профиля браузера пользователя без необходимости файлов cookie.

Идентификаторы, которые можно извлечь из посещения пользователя (собранные через JavaScript API и HTTP-заголовки), в профиль браузера, включают настройки языка, операционную систему, версии браузера и расширения, установленные плагины, разрешение экрана, аппаратуру, глубину цвета, часовой пояс, метки времени, установленные шрифты, характеристики холста, строку агента пользователя, заголовки HTTP-запросов, адрес IP и настройки языка устройства, среди прочих. Без доступа к многим из этих характеристик большая часть обычно ожидаемой веб-функциональности не будет возможна.

Извлечение информации через ответы рекламной сети

Авторы отмечают, что рекламные данные о жертве относительно легко раскрыть, имитируя ее захваченную браузерную отпечатку, и могут быть полезно использованы:

‘[Если] браузерная отпечатка используется для персонализированной и нацеленной рекламы, веб-сервер, размещающий добросовестный веб-сайт, будет доставлять одну и ту же или подобную рекламу браузеру атакующего, как и те, которые были бы доставлены браузеру жертвы, поскольку веб-сервер считает браузер атакующего браузером жертвы. На основе персонализированной рекламы (например, связанной с продуктами беременности, лекарствами и брендами) атакующий может сделать вывод о различных конфиденциальных сведениях о жертве (например, пол, возрастная группа, состояние здоровья, интересы, уровень зарплаты и т. д.), даже создать личный поведенческий профиль жертвы.

‘Утечка такой личной и частной информации может создать устрашающую угрозу приватности пользователю.’

Поскольку браузерные отпечатки меняются со временем, поддержание пользователя, возвращающегося на сайт атаки, будет поддерживать клонированный профиль в актуальном состоянии, но авторы утверждают, что однократное клонирование все еще может обеспечить удивительно долгосрочные периоды эффективной атаки.

Имитация аутентификации пользователя

Получение аутентификационной системы, отказывающейся от двухфакторной аутентификации, является бонусом для киберпреступников. Как отмечают авторы новой статьи, многие текущие рамки аутентификации (2FA) используют «распознанный» выводимый профиль браузера для ассоциации учетной записи с пользователем. Если система аутентификации сайта удовлетворена тем, что пользователь пытается войти в систему на устройстве, которое использовалось при последней успешной авторизации, она может, для удобства пользователя, не требовать 2FA.

Авторы отмечают, что Oracle, InAuth и SecureAuth IdP все практикуют некоторую форму этого «пропуска проверки», основанную на записанном профиле браузера пользователя.

Обнаружение мошенничества

Различные услуги безопасности используют браузерную отпечатку в качестве инструмента для определения вероятности того, что пользователь занимается мошеннической деятельностью. Исследователи отмечают, что Seon и IPQualityScore являются двумя такими компаниями.

Следовательно, возможно, с помощью предложенной методологии, либо несправедливо охарактеризовать пользователя как мошенника, используя «тень-профиль» для запуска порогов таких систем, либо использовать украденный профиль в качестве «бороды» для подлинных попыток мошенничества, отклоняя анализ профиля от атакующего и в сторону жертвы.

Три поверхности атаки

Статья предлагает три способа, которыми система Gummy Browser может быть использована против жертвы: Acquire-Once-Spoof-Once включает в себя присвоение браузерной идентификатора жертвы в поддержку одноразовой атаки, такой как попытка получить доступ к защищенной области в качестве пользователя. В этом случае «возраст» идентификатора не имеет значения, поскольку информация действует быстро и без последующего анализа.

Во втором подходе, Acquire-Once-Spoof-Frequently, атакующий стремится разработать профиль жертвы, наблюдая, как веб-серверы реагируют на их профиль (т. е. серверы рекламы, которые доставляют определенные типы контента, предполагая «знакомого» пользователя, у которого уже есть связанный с ним профиль браузера).

Наконец, Acquire-Frequently-Spoof-Frequently — это долгосрочный план, предназначенный для регулярного обновления профиля браузера жертвы, заставляя жертву повторно посещать сайт, не вызывающий подозрений (который может быть разработан как новостной сайт или блог, например). Таким образом атакующий может выполнить имитацию обнаружения мошенничества в течение более длительного периода времени.

Извлечение и результаты

Методы имитации, используемые Gummy Browsers, включают в себя внедрение скриптов, использование настроек и отладочных инструментов браузера, а также модификацию скриптов.

Характеристики могут быть эксфильтрованы с помощью или без JavaScript. Например, заголовки агента пользователя (которые идентифицируют бренд браузера, такой как Chrome, Firefox и т. д.), могут быть получены из HTTP-заголовков, некоторых из наиболее основных и не блокируемых сведений, необходимых для функционального веб-браузинга.

При тестировании системы Gummy Browser против FPStalker и Panopticlick исследователи достигли среднего «владения» (присвоенного профиля браузера) более 0,95 по трем алгоритмам отпечатки, обеспечивая работоспособную копию захваченной идентификатора.

Статья подчеркивает необходимость для архитекторов систем не полагаться на характеристики профиля браузера в качестве токена безопасности и косвенно критикует некоторые из более крупных рамок аутентификации, которые приняли эту практику, особенно когда она используется в качестве метода поддержания «дружественности пользователя», исключая или откладывая использование двухфакторной аутентификации.

Авторы заключают:

‘Воздействие Gummy Browsers может быть разрушительным и долгосрочным на онлайн-безопасность и приватность пользователей, особенно учитывая, что браузерная отпечатка начинает широко использоваться в реальном мире. В свете этой атаки наша работа вызывает вопрос о том, является ли браузерная отпечатка безопасной для развертывания в крупном масштабе.’