Cybersäkerhet
Ny attack ‘kloner’ och utnyttjar din unika online-ID via browser-fingerprinting
Forskare har utvecklat en metod för att kopiera egenskaperna hos en offers webbläsare med hjälp av browser-fingerprinting-tekniker, och därefter “utge sig för” att vara offret.
Tekniken har flera säkerhetsimplikationer: angriparen kan utföra skadliga eller till och med olagliga online-aktiviteter, med “registreringen” av dessa aktiviteter tillskriven användaren; och tvåfaktorsautentiseringsskydd kan komprometteras, eftersom en autentiseringswebbplats tror att användaren har identifierats framgångsrikt, baserat på den stulna browser-fingerprint-profilen
Dessutom kan angriparens “skuggkopia” besöka webbplatser som ändrar typen av annonser som levereras till den användarprofilen, vilket innebär att användaren kommer att börja ta emot annonsinnehåll som inte är relaterat till deras faktiska surfandeaktiviteter. Dessutom kan angriparen dra slutsatser om offret baserat på hur andra (omedvetna) webbplatser svarar på den förfalskade browser-ID:n.
Den artikeln heter Gummy Browsers: Targeted Browser Spoofing against State-of-the-Art Fingerprinting Techniques, och kommer från forskare vid Texas A&M University och University of Florida at Gainesville.
Översikt över Gummy Browsers-metodiken. Källa: https://arxiv.org/pdf/2110.10129.pdf
Gummy Browsers
De namngivna “gummy browsers” är klonade kopior av offrets webbläsare, uppkallade efter “Gummy Fingers”-attacken som rapporterades i början av 2000-talet, som replicerade offrets faktiska fingeravtryck med gelé-kopior för att kringgå fingeravtrycks-ID-system.
Författarna skriver:
‘Det primära målet med Gummy Browsers är att lura webbservern att tro att en legitim användare använder dess tjänster så att den kan lära sig känslig information om användaren (t.ex. användarens intressen baserat på personliga annonser), eller kringgå olika säkerhetssystem (t.ex. autentisering och bedrägeridetektering) som förlitar sig på browser-fingerprinting.’
De fortsätter:
‘Tyvärr identifierar vi en betydande hotvektor mot sådana länkalgoritmer. Specifikt finner vi att en angripare kan fånga och förfalska webbläsarens egenskaper hos offrets webbläsare, och därmed kan “presentera” sin egen webbläsare som offrets webbläsare när den ansluter till en webbplats.’
Författarna hävdar att de browser-fingerprint-kloningstekniker de har utvecklat hotar ‘en förödande och varaktig inverkan på användarnas online-säkerhet och integritet’.
I testning av systemet mot två fingerprinting-system, FPStalker och Electronic Frontier Foundations Panopticlick, fann författarna att deras system kunde simulera den infångade användarinformationen framgångsrikt nästan alltid, trots att systemet inte tog hänsyn till flera attribut, inklusive TCP/IP-stack fingerprinting, hårdvarusensorer och DNS-omriktare.
Författarna hävdar också att offret kommer att vara helt omedvetet om attacken, vilket gör det svårt att kringgå.
Metodik
Browser-fingerprinting-profiler genereras av flera faktorer i hur användarens webbläsare är konfigurerad. Ironiskt nog kan många av de försvar som är utformade för att skydda integriteten, inklusive installation av annonsblockerings-tillägg, faktiskt göra en webbläsare-fingerprint mer distinkt och lättare att mål.
Browser-fingerprinting är inte beroende av cookies eller sessionsdata, utan erbjuder en i stort sett oundviklig ögonblicksbild av användarens konfiguration till alla domäner som användaren surfar på, om domänen är konfigurerad för att utnyttja sådan information.
Bortsett från öppet skadliga metoder används fingerprinting vanligtvis för att rikta annonser till användare, för bedrägeridetektering, och för användarautentisering (en anledning till varför tillägg eller andra grundläggande ändringar av webbläsaren kan orsaka att webbplatser kräver om-autentisering, baserat på att webbläsarprofilen har ändrats sedan senaste besöket).
Metoden som föreslås av forskarna kräver endast att offret besöker en webbplats som är konfigurerad för att spela in deras webbläsare-fingerprint – en praxis som en nylig studie uppskattade är vanligt förekommande på mer än 10% av de 100 000 mest besökta webbplatserna, och som utgör en del av Googles Federated Learning of Cohorts (FLOC), sökjättens föreslagna alternativ till cookie-baserad spårning. Det är också en central teknik i adtech-plattformar i allmänhet, och därmed når det långt mer än de 10% av webbplatser som identifierats i den ovannämnda studien.
Typiska aspekter som kan extraheras från en användares webbläsare utan behov av cookies.
Identifierare som kan extraheras från ett användarbesök (insamlade via JavaScript-API:er och HTTP-huvuden) till en klonbar webbläsarprofil inkluderar språkinställningar, operativsystem, webbläsarversioner och tillägg, installerade plugin-program, skärmupplösning, maskinvara, färgdjup, tidszon, tidsstämplar, installerade teckensnitt, canvas-egenskaper, användaragent-sträng, HTTP-begäranhuvuden, IP-adress och enhets-språkinställningar, bland andra. Utan tillgång till många av dessa egenskaper skulle en stor del av den vanligtvis förväntade webbfunktionaliteten inte vara möjlig.
Extrahering av information via annonsnätverks-svar
Författarna noterar att annonsdata om offret är ganska lätt att exponera genom att utge sig för att vara deras infångade webbläsarprofil, och kan användas på ett användbart sätt:
‘[Om] webbläsar-fingerprinting används för personliga och riktade annonser, kommer webbservern som värd för en harmlös webbplats att skicka samma eller liknande annonser till angriparens webbläsare som de som skulle ha skickats till offrets webbläsare, eftersom webbservern anser att angriparens webbläsare är offrets webbläsare. Baserat på personliga annonser (t.ex. relaterade till graviditetsprodukter, läkemedel och varumärken), kan angriparen dra slutsatser om offret (t.ex. kön, åldersgrupp, hälsotillstånd, intressen, lönenivå etc.), och till och med skapa en personlig beteendeprofil för offret.
‘Läckage av sådan personlig och privat information kan skapa en fruktansvärd integritetsrisk för användaren.’
Eftersom webbläsar-fingeravtryck ändras över tiden, kommer att hålla användaren att återvända till attack-webbplatsen att hålla den klonade profilen uppdaterad, men författarna hävdar att en engångskloning fortfarande kan möjliggöra förvånansvärt långa effektiva attackperioder.
Användarautentiseringsspoofing
Att få ett autentiseringssystem att avstå från tvåfaktorsautentisering är en fördel för cyberkriminella. Som författarna till den nya artikeln noterar, använder många nuvarande autentiseringsramverk (2FA) en “erkänd” antydd webbläsarprofil för att associera kontot med användaren. Om webbplatsens autentiseringssystem är nöjda med att användaren försöker logga in på en enhet som användes vid den senaste lyckade inloggningen, kan det, för användarvänlighet, inte kräva 2FA.
Författarna observerar att Oracle, InAuth och SecureAuth IdP alla praktiserar någon form av denna “kontrollhoppning”, baserat på en användares registrerade webbläsarprofil.
Bedrägeridetektering
Olika säkerhetstjänster använder webbläsar-fingerprinting som ett verktyg för att bestämma sannolikheten för att en användare är engagerad i bedrägliga aktiviteter. Forskarna noterar att Seon och IPQualityScore är två sådana företag.
Därför är det möjligt, genom den föreslagna metodiken, att antingen orättvist karakterisera användaren som en bedragare genom att använda “skuggprofilen” för att utlösa trösklarna för sådana system, eller använda den stulna profilen som en “skägg” för äkta försök till bedrägeri, och avleda forensisk analys av profilen bort från angriparen och mot offret.
Tre attackytor
Artikeln föreslår tre sätt som Gummy Browser-systemet kan användas mot ett offer: Acquire-Once-Spoof-Once innebär att man tar över offrets webbläsar-ID till stöd för en engångsattack, t.ex. ett försök att få tillgång till ett skyddat område iklädd användarens skepnad. I detta fall är “åldern” på ID:t irrelevant, eftersom informationen ageras snabbt och utan uppföljning.
I en andra tillvägagångssätt, Acquire-Once-Spoof-Frequently, söker angriparen efter att utveckla en profil av offret genom att observera hur webbservrar svarar på deras profil (dvs. annonservrar som levererar specifik innehåll under antagandet av en “välbekant” användare som redan har en webbläsarprofil associerad med dem).
Slutligen är Acquire-Frequently-Spoof-Frequently en långsiktig plan som är utformad för att regelbundet uppdatera offrets webbläsarprofil genom att få offret att upprepa sitt besök på den oskyldiga exfiltreringswebbplatsen (som kan ha utvecklats som en nyhetswebbplats eller blogg, till exempel). På detta sätt kan angriparen utföra bedrägeridetekteringsspoofing under en längre period.
Extraktion och resultat
De spoofing-metoder som används av Gummy Browsers består av scriptinjektion, användning av webbläsarens inställningar och felsökningsverktyg, och scriptmodifikation.
Egenskaperna kan exfiltreras med eller utan JavaScript. Till exempel kan användaragent-huvuden (som identifierar webbläsarmärket, t.ex. Chrome, Firefox, etc.), härledas från HTTP-huvuden, som är några av de mest grundläggande och icke-blockerbara uppgifter som krävs för fungerande webbläsning.
I testning av Gummy Browser-systemet mot FPStalker och Panopticlick, uppnådde forskarna en genomsnittlig “ägande” (av en approprierad webbläsarprofil) på mer än 0,95 över tre fingerprinting-algoritmer, vilket resulterade i en fungerande klon av den infångade ID:n.
Artikeln betonar behovet av att systemarkitekter inte ska förlita sig på webbläsarprofils-egenskaper som en säkerhetstoken, och implicit kritiserar vissa av de större autentiseringsramverken som har antagit denna praxis, särskilt där det används som en metod för att upprätthålla “användarvänlighet” genom att undvika eller skjuta upp användningen av tvåfaktorsautentisering.
Författarna slutsats:
‘Inverkan av Gummy Browsers kan vara förödande och varaktig på användarnas online-säkerhet och integritet, särskilt med tanke på att webbläsar-fingerprinting börjar bli allmänt antagen i den verkliga världen. I ljuset av denna attack, väcker vår forskning frågan om webbläsar-fingerprinting är säker att distribuera i stor skala.’
