Новая атака «клонирует» и злоупотребляет вашим уникальным сетевым идентификатором с помощью отпечатков пальцев браузера

Исследователи разработали метод копирования характеристик веб-браузера жертвы с использованием методов снятия отпечатков пальцев браузера, а затем «выдачи себя за» жертву.

Этот метод имеет множество последствий для безопасности: злоумышленник может выполнять вредоносные или даже незаконные действия в Интернете, при этом «запись» этих действий приписывается пользователю; и защита двухфакторной аутентификации может быть скомпрометирована, поскольку сайт аутентификации считает, что пользователь был успешно распознан на основе украденного профиля отпечатка пальца браузера.

Кроме того, «теневой клон» злоумышленника может посещать сайты, которые изменяют тип рекламы, доставляемой в этот профиль пользователя, а это означает, что пользователь начнет получать рекламный контент, не связанный с его фактическими действиями в Интернете. Кроме того, злоумышленник может многое сделать о жертве, основываясь на том, как другие (незаметные) веб-сайты реагируют на поддельный идентификатор браузера.

Ассоциация бумаги называется Gummy Browsers: целевая подмена браузера против современных методов снятия отпечатков пальцев, и исходит от исследователей из Техасского университета A&M и Университета Флориды в Гейнсвилле.

Мармеладные браузеры

Одноименные «мармеладные браузеры» — это клонированные копии браузера-жертвы, названные в честь атаки «мармеладных пальцев», о которой сообщалось в начале 2000-х годов. воспроизвел настоящие отпечатки пальцев жертвы с желатиновыми копиями, чтобы обойти системы идентификации по отпечаткам пальцев.

Авторы заявляют:

«Основная цель Gummy Browsers — обмануть веб-сервер, заставив его поверить в то, что законный пользователь получает доступ к его услугам, чтобы он мог получить конфиденциальную информацию о пользователе (например, интересы пользователя на основе персонализированной рекламы) или обойти различные схемы безопасности (например, аутентификация и обнаружение мошенничества), основанные на снятии отпечатков пальцев в браузере».

Они продолжают:

«К сожалению, мы выявляем значительный вектор угрозы против таких алгоритмов связывания. В частности, мы обнаружили, что злоумышленник может перехватить и подделать характеристики браузера жертвы и, следовательно, может «представить» свой собственный браузер как браузер жертвы при подключении к веб-сайту».

Авторы утверждают, что разработанные ими методы клонирования отпечатков пальцев браузера угрожают «разрушительное и продолжительное влияние на конфиденциальность и безопасность пользователей в Интернете».

При тестировании системы на двух системах снятия отпечатков пальцев, ФПССталкер и фонд Electronic Frontier Foundation Panopticlick, авторы обнаружили, что их система могла успешно имитировать захваченную пользовательскую информацию почти все время, несмотря на то, что система не учитывала несколько атрибутов, включая стек TCP/IP. дактилоскопия, аппаратные датчики и DNS-резольверы.

Авторы также утверждают, что жертва будет совершенно не обращать внимания на атаку, что затруднит ее обход.

Методология

Дактилоскопия браузера профили генерируются с учетом множества факторов конфигурации веб-браузера пользователя. По иронии судьбы, многие средства защиты, предназначенные для защиты конфиденциальности, включая установку расширений для блокировки рекламы, на самом деле могут создать отпечаток пальца браузера. более отчетливым и легким для таргетинга.

Снятие отпечатков пальцев браузера не зависит от файлов cookie или данных сеанса, а скорее предлагает в значительной степени неизбежный снимок настройки пользователя для любого домена, который просматривает пользователь, если этот домен настроен на использование такой информации.

В отличие от откровенно злонамеренных практик снятие отпечатков пальцев обычно используется для цель реклама у пользователей, для обнаружение мошенничества, А для аутентификация пользователя (одна из причин, по которой добавление расширений или внесение других основных изменений в ваш браузер может привести к тому, что сайты потребуют повторной аутентификации, основанной на том факте, что ваш профиль браузера изменился с момента вашего последнего посещения).

Метод, предложенный исследователями, требует от жертвы посещения только веб-сайта, настроенного на запись отпечатка пальца браузера — практика, которую недавно исследовали. к XNUMX году преобладает на более чем 10% из 100,000 XNUMX лучших веб-сайтов, и которые формы часть Федеративного обучения когорт Google (FLOC), предложенной поисковым гигантом альтернативы отслеживанию на основе файлов cookie. Это также центральная технология на рекламных платформах в целом, таким образом охватывая гораздо больше, чем 10% сайтов, указанных в вышеупомянутом исследовании.

Идентификаторы, которые могут быть извлечены из посещения пользователя (собранные с помощью API JavaScript и заголовков HTTP) в клонируемый профиль браузера, включают языковые настройки, операционную систему, версии и расширения браузера, установленные плагины, разрешение экрана, аппаратное обеспечение, глубину цвета, часовой пояс, временные метки. , установленные шрифты, характеристики холста, строка пользовательского агента, заголовки HTTP-запросов, настройки IP-адреса и языка устройства и другие. Без доступа ко многим из этих характеристик большая часть общепринятых веб-функций была бы невозможна.

Извлечение информации из ответов рекламной сети

Авторы отмечают, что рекламные данные о жертве довольно легко раскрыть, выдав себя за захваченный профиль браузера, и могут быть с пользой эксплуатировать:

«[Если] снятие отпечатков пальцев браузера используется для персонализированной и целевой рекламы, веб-сервер, на котором размещен безопасный веб-сайт, будет отправлять те же или похожие объявления в браузер злоумышленника, что и те, которые были бы отправлены в браузер жертвы, потому что Интернет сервер считает браузер злоумышленника браузером жертвы. На основе персонализированной рекламы (например, связанной с продуктами для беременных, лекарствами и торговыми марками) злоумышленник может вывести различную конфиденциальную информацию о жертве (например, пол, возрастная группа, состояние здоровья, интересы, уровень заработной платы и т. д.) личный поведенческий профиль потерпевшего.

«Утечка такой личной и частной информации может создать ужасную угрозу для конфиденциальности пользователя».

Поскольку отпечатки пальцев браузера со временем меняются, постоянное возвращение пользователя на сайт атаки позволит поддерживать клонированный профиль в актуальном состоянии, но авторы утверждают, что одноразовое клонирование все же может обеспечить удивительно длительные периоды эффективной атаки.

Подмена аутентификации пользователя

Заставить систему аутентификации отказаться от двухфакторной аутентификации — благо для киберпреступников. Как отмечают авторы нового документа, многие современные системы аутентификации (2FA) используют «распознанный» предполагаемый профиль браузера, чтобы связать учетную запись с пользователем. Если системы аутентификации сайта удовлетворены тем, что пользователь пытается войти в систему на устройстве, которое использовалось при последнем успешном входе в систему, для удобства пользователя он может не требовать 2FA.

Авторы отмечают, что Oracle, Инаутентификация и Идентификатор SecureAuth все практикуют некоторую форму этого «пропуска проверки», основанную на записанном профиле браузера пользователя.

Обнаружение мошенничества

Различные службы безопасности используют отпечатки пальцев браузера в качестве инструмента для определения вероятности того, что пользователь занимается мошенническими действиями. Исследователи отмечают, что Сон и IPQualityScore две такие компании.

Таким образом, с помощью предлагаемой методологии можно либо несправедливо охарактеризовать пользователя как мошенника, используя «теневой профиль» для срабатывания порогов таких систем, либо же использовать украденный профиль как «бороду» для реальных попыток мошенничества. , отклоняя криминалистический анализ профиля от злоумышленника к жертве.

Три поверхности атаки

В документе предлагаются три способа использования системы Gummy Browser против жертвы: Приобретать-один раз-обманывать-один раз включает в себя присвоение идентификатора браузера жертвы для поддержки одноразовой атаки, такой как попытка получить доступ к защищенному домену под видом пользователя. В этом случае «возраст» идентификатора не имеет значения, поскольку информация обрабатывается быстро и без каких-либо последующих действий.

Во втором подходе Приобретать-один раз-подделывать-часто, злоумышленник пытается составить профиль жертвы, наблюдая за тем, как веб-серверы реагируют на их профиль (например, рекламные серверы, которые доставляют определенные типы контента, исходя из предположения, что «знакомый» пользователь уже имеет связанный с ним профиль браузера) .

Наконец, Приобретать-часто-подделывать-часто — это долгосрочная уловка, предназначенная для регулярного обновления профиля браузера жертвы путем повторного посещения жертвой безобидного сайта эксфильтрации (который мог быть разработан, например, как новостной сайт или блог). Таким образом, злоумышленник может выполнять спуфинг для обнаружения мошенничества в течение более длительного периода времени.

Извлечение и результаты

Методы спуфинга, используемые браузерами Gummy, включают в себя внедрение скрипта, использование настроек браузера и средств отладки, а также модификацию скрипта.

Характеристики могут быть извлечены с помощью JavaScript или без него. Например, заголовки агента пользователя (которые идентифицируют марку браузера, например Chrome, Firefoxи др.), могут быть получены из заголовков HTTP, которые являются одной из самых основных и неблокируемых данных, необходимых для функционального просмотра веб-страниц.

При тестировании системы Gummy Browser против FPStalker и Panopticlick исследователи добились среднего «владения» (присвоенным профилем браузера) более 0.95 по трем алгоритмам снятия отпечатков пальцев, создав работоспособный клон захваченного идентификатора.

В документе подчеркивается необходимость того, чтобы системные архитекторы не полагались на характеристики профиля браузера в качестве маркера безопасности, и неявно критикуются некоторые из более крупных сред аутентификации, которые приняли эту практику, особенно там, где она используется в качестве метода поддержания «удобства для пользователя». отказ или отсрочка использования двухфакторной аутентификации.

Авторы заключают:

«Влияние браузеров Gummy может быть разрушительным и продолжительным на онлайн-безопасность и конфиденциальность пользователей, особенно с учетом того, что отпечатки пальцев браузера начинают широко применяться в реальном мире. В свете этой атаки наша работа поднимает вопрос о том, безопасно ли широкомасштабное развертывание браузерных отпечатков пальцев».