Yeni Saldırı "Klonlar" ve Benzersiz Çevrimiçi Kimliğinizi Tarayıcı Parmak İzi Yoluyla Suistimal Eder

Araştırmacılar, tarayıcı parmak izi tekniklerini kullanarak mağdurun web tarayıcısının özelliklerini kopyalamak ve ardından mağduru 'taklit etmek' için bir yöntem geliştirdiler.

Bu tekniğin birden fazla güvenlik etkisi vardır: Saldırgan, kullanıcıya atfedilen bu faaliyetlerin 'kayıtları' ile zarar verici hatta yasa dışı çevrimiçi faaliyetler gerçekleştirebilir; ve iki faktörlü kimlik doğrulama savunmaları, kimlik doğrulama sitesinin çalınan tarayıcı parmak izi profiline dayanarak kullanıcının başarıyla tanındığına inanması nedeniyle tehlikeye girebilir.

Ayrıca, saldırganın "gölge klonu", söz konusu kullanıcı profiline sunulan reklam türünü değiştiren siteleri ziyaret edebilir; bu da kullanıcının gerçek tarama faaliyetleriyle alakasız reklam içerikleri almaya başlaması anlamına gelir. Dahası, saldırgan, diğer (farkında olmayan) web sitelerinin sahte tarayıcı kimliğine verdiği yanıta dayanarak kurban hakkında çok şey çıkarabilir.

The kâğıt başlıklı Sakızlı Tarayıcılar: Son Teknoloji Parmak İzi Tekniklerine Karşı Hedefli Tarayıcı Sahtekarlığı, ve Texas A&M Üniversitesi ve Gainesville'deki Florida Üniversitesi'ndeki araştırmacılardan geliyor.

Sakızlı Tarayıcılar metodolojisine genel bakış.  Kaynak: https://arxiv.org/pdf/2110.10129.pdf

sakızlı tarayıcılar

'Gummy tarayıcılar' olarak adlandırılan bu tarayıcılar, 2000'li yılların başında bildirilen 'Gummy Fingers' saldırısından sonra isimlendirilen kurban tarayıcının klonlanmış kopyalarıdır. kurbanın gerçek parmak izlerinin kopyalanması parmak izi kimlik sistemlerini atlamak için jelatin kopyalarla.

Yazarlar şunları belirtiyor:

'Gummy Browsers'ın temel amacı, web sunucusunu, meşru bir kullanıcının hizmetlerine eriştiğine inandırarak kandırmak ve böylece kullanıcı hakkında hassas bilgiler (örneğin, kişiselleştirilmiş reklamlara dayalı kullanıcının ilgi alanları) öğrenmek veya tarayıcı parmak izine dayanan çeşitli güvenlik planlarını (örneğin, kimlik doğrulama ve dolandırıcılık tespiti) atlatmaktır.'

Onlar devam ediyor:

'Ne yazık ki, bu tür bağlantı algoritmalarına karşı önemli bir tehdit vektörü tespit ettik. Özellikle, bir saldırganın kurbanın tarayıcısının özelliklerini yakalayıp taklit edebildiğini ve dolayısıyla bir web sitesine bağlanırken kendi tarayıcısını kurbanın tarayıcısı olarak "sunabildiğini" görüyoruz.'

Yazarlar, geliştirdikleri tarayıcı parmak izi klonlama tekniklerinin tehdit oluşturduğunu iddia ediyor. 'Kullanıcıların çevrimiçi gizliliği ve güvenliği üzerinde yıkıcı ve kalıcı bir etki'.

Sistemi iki parmak izi alma sistemine karşı test ederken, FPS konuşmacısı ve Elektronik Sınır Vakfı'nın Panopticlick, yazarlar, sistemin TCP/IP yığını da dahil olmak üzere çeşitli öznitelikleri hesaba katmamasına rağmen, sistemlerinin yakalanan kullanıcı bilgilerini neredeyse her zaman başarılı bir şekilde simüle edebildiğini buldular. parmak izi, donanım sensörleri ve DNS çözücüler.

Yazarlar ayrıca kurbanın saldırıdan tamamen habersiz olacağını ve bunun atlatmayı zorlaştırdığını iddia ediyor.

metodoloji

Tarayıcı parmak izi Profiller, kullanıcının web tarayıcısının yapılandırılma biçimine bağlı olarak birden fazla faktör tarafından oluşturulur. İronik olarak, reklam engelleyici uzantıların yüklenmesi de dahil olmak üzere gizliliği korumak için tasarlanan savunmaların çoğu, aslında bir tarayıcı parmak izinin oluşmasına neden olabilir. daha belirgin ve hedeflenmesi daha kolay.

Tarayıcı parmak izi, tanımlama bilgilerine veya oturum verilerine bağlı değildir, bunun yerine büyük ölçüde kaçınılmaz Kullanıcının taradığı herhangi bir etki alanına, söz konusu etki alanı bu tür bilgileri kullanacak şekilde yapılandırılmışsa, kullanıcının kurulumunun anlık görüntüsü.

Açıkça kötü niyetli uygulamalardan uzakta, parmak izi genellikle reklamları kullanıcılara hedeflemek için kullanılır. sahtekarlık tespiti, Ve için kullanıcı kimlik doğrulama (tarayıcınıza uzantı eklemenin veya başka temel değişiklikler yapmanın, tarayıcı profilinizin son ziyaretinizden bu yana değişmiş olması gerçeğine bağlı olarak, sitelerin yeniden kimlik doğrulama talep etmesine neden olmasının bir nedeni).

Araştırmacıların önerdiği yöntem, kurbanın yalnızca tarayıcı parmak izini kaydedecek şekilde yapılandırılmış bir web sitesini ziyaret etmesini gerektiriyor; bu, yakın zamanda yapılan bir çalışmada ortaya konan bir uygulamadır. tahmini ilk 10 web sitesinin %100,000'undan fazlasında yaygındır ve hangileri formlar Google'ın çerez tabanlı izlemeye yönelik önerdiği alternatif olan Kohortların Federasyonlu Öğrenmesi'nin (FLOC) bir parçası. Aynı zamanda adtech platformlarında merkezi teknoloji genel olarak, bu nedenle yukarıda belirtilen çalışmada tanımlanan sitelerin %10'undan çok daha fazlasına ulaşmaktadır.

Çerezlere ihtiyaç duymadan bir kullanıcının tarayıcısından çıkarılabilecek tipik yönler.

Bir kullanıcı ziyaretinden (JavaScript API'leri ve HTTP başlıkları aracılığıyla toplanan) klonlanabilir bir tarayıcı profiline çıkarılabilen tanımlayıcılar arasında dil ayarları, işletim sistemi, tarayıcı sürümleri ve uzantıları, yüklü eklentiler, ekran çözünürlüğü, donanım, renk derinliği, saat dilimi, zaman damgaları bulunur. , yüklü yazı tipleri, tuval özellikleri, kullanıcı aracısı dizesi, HTTP istek başlıkları, IP adresi ve cihaz dili ayarları ve diğerleri. Bu özelliklerin çoğuna erişim olmadan, yaygın olarak beklenen web işlevselliğinin büyük bir kısmı mümkün olmazdı.

Reklam Ağı Yanıtları Yoluyla Bilgi Çıkarma

Yazarlar, kurbanla ilgili reklam verilerinin, yakalanan tarayıcı profillerinin kimliğine bürünerek ifşa edilmesinin oldukça kolay olduğunu ve faydalı bir şekilde sömürülen:

"[Eğer] kişiselleştirilmiş ve hedeflenmiş reklamlar için tarayıcı parmak izi kullanılırsa, zararsız bir web sitesine ev sahipliği yapan web sunucusu, saldırganın tarayıcısına, web nedeniyle kurbanın tarayıcısına gönderilenlerle aynı veya benzer reklamları gönderir. sunucu, saldırganın tarayıcısını kurbanın tarayıcısı olarak kabul eder. Saldırgan, kişiselleştirilmiş reklamlara dayanarak (ör. hamilelik ürünleri, ilaçlar ve markalarla ilgili), kurban hakkında çeşitli hassas bilgileri (ör. cinsiyet, yaş grubu, sağlık durumu, ilgi alanları, maaş düzeyi vb.) kurbanın kişisel davranış profili.

'Bu tür kişisel ve özel bilgilerin sızdırılması kullanıcı için korkunç bir gizlilik tehdidi oluşturabilir.'

Tarayıcı parmak izleri zamanla değiştiğinden, kullanıcının saldırı sitesine geri dönmesini sağlamak, klonlanan profili güncel tutacaktır, ancak yazarlar, tek seferlik bir klonlamanın yine de şaşırtıcı derecede uzun vadeli etkili saldırı dönemleri sağlayabileceğini iddia etmektedir.

Kullanıcı Kimlik Doğrulaması Sahtekarlığı

İki faktörlü kimlik doğrulamayı reddeden bir kimlik doğrulama sistemi edinmek, siber suçlular için büyük bir avantaj. Yeni makalenin yazarlarının da belirttiği gibi, mevcut kimlik doğrulama (2FA) sistemlerinin çoğu, hesabı kullanıcıyla ilişkilendirmek için "tanınmış" bir tarayıcı profili kullanıyor. Sitenin kimlik doğrulama sistemleri, kullanıcının son başarılı oturum açma işleminde kullanılan bir cihazda oturum açmaya çalıştığından emin olursa, kullanıcı kolaylığı için 2FA talep etmeyebilir.

Yazarlar bunu gözlemliyor Kehanet, Yetki İçi ve SecureAuth IdP hepsi, kullanıcının kayıtlı tarayıcı profiline dayanarak, bu 'kontrol atlama' biçiminin bir biçimini uygular.

Sahtecilik Tespit

Çeşitli güvenlik hizmetleri, bir kullanıcının hileli faaliyetlerde bulunma olasılığını belirlemek için tarayıcı parmak izini bir araç olarak kullanır. Araştırmacılar, seon ve IP Kalite Puanı bu iki şirket var.

Dolayısıyla, önerilen metodolojiyle, bu tür sistemlerin eşiklerini tetiklemek için 'gölge profil' kullanılarak kullanıcı haksız yere dolandırıcı olarak nitelendirilebilir veya çalınan profil gerçek dolandırıcılık girişimleri için bir 'sakal' olarak kullanılarak profilin adli analizinin saldırgandan uzaklaştırılıp kurbana yöneltilmesi sağlanabilir.

Üç Saldırı Yüzeyi

Makale, Gummy Tarayıcı sisteminin bir kurbana karşı kullanılabilmesi için üç yol önermektedir: Bir Kez Parodi Bir Kez Edinin Bu, kullanıcı kılığında korunan bir etki alanına erişim sağlama girişimi gibi tek seferlik bir saldırıyı desteklemek için kurbanın tarayıcı kimliğinin ele geçirilmesini içerir. Bu durumda, kimliğin "yaşı" önemsizdir, çünkü bilgi hızlı bir şekilde ve takip edilmeden ele geçirilir.

İkinci bir yaklaşımda, Bir Kez Parodi Sıklıkla EdininSaldırgan, web sunucularının kendi profillerine nasıl yanıt verdiğini gözlemleyerek (yani, kendilerine ait bir tarayıcı profili bulunan 'tanıdık' bir kullanıcı varsayımıyla belirli türde içerikler sunan reklam sunucuları) kurbanın profilini çıkarmaya çalışır.

En sonunda, Edinme-Sıklıkla-Spoof-Sıklıkla kurbanın tarayıcı profilini düzenli olarak güncellemesini sağlamak için tasarlanmış, uzun vadeli bir taktiktir; kurbanın zararsız sızdırma sitesine (örneğin bir haber sitesi veya blog olarak geliştirilmiş olabilir) ziyaretini tekrarlamasını sağlar. Bu şekilde saldırgan, dolandırıcılık tespit sahtekarlığını daha uzun bir süre boyunca gerçekleştirebilir.

Çıkarma ve Sonuçlar

Gummy Tarayıcıları tarafından kullanılan sahtekarlık yöntemleri arasında betik enjeksiyonu, tarayıcının ayar ve hata ayıklama araçlarının kullanımı ve betik değişikliği yer alır.

Özellikler, JavaScript ile veya JavaScript olmadan çıkarılabilir. Örneğin, kullanıcı aracısı başlıkları (tarayıcının markasını tanımlayan, örneğin krom, Firefox, ve diğerleri), işlevsel web taraması için gerekli olan en temel ve engellenemeyen bilgilerden bazıları olan HTTP başlıklarından türetilebilir.

Araştırmacılar, Gummy Tarayıcı sistemini FPStalker ve Panopticlick'e karşı test ederek, üç parmak izi algoritmasında ortalama 0.95'ten fazla bir 'sahiplik' (el konulan bir tarayıcı profili) elde ettiler ve yakalanan kimliğin çalışır bir klonunu oluşturdular.

Makale, sistem mimarlarının güvenlik belirteci olarak tarayıcı profili özelliklerine güvenmemeleri gerektiğini vurguluyor ve özellikle iki faktörlü kimlik doğrulamanın kullanımını ortadan kaldırarak veya erteleyerek 'kullanıcı dostu' olma yöntemi olarak kullanıldığı durumlarda, bu uygulamayı benimseyen daha büyük kimlik doğrulama çerçevelerinden bazılarını dolaylı olarak eleştiriyor.

Yazarlar şu sonuca varıyor:

'Gummy Tarayıcıların etkisi, özellikle tarayıcı parmak izi teknolojisinin gerçek dünyada yaygınlaşmaya başladığı göz önüne alındığında, kullanıcıların çevrimiçi güvenliği ve gizliliği üzerinde yıkıcı ve kalıcı olabilir. Bu saldırı ışığında, çalışmalarımız tarayıcı parmak izi teknolojisinin geniş çapta uygulanmasının güvenli olup olmadığı sorusunu gündeme getiriyor.'