Yeni Saldırı ‘Klonlar’ ve Browser Fingerprinting Yöntemiyle Benzersiz Çevrimiçi Kimliğinizi Suistimal Ediyor

Araştırmacılar, browser fingerprinting tekniklerini kullanarak bir kurbanın web tarayıcı özelliklerini kopyalamanın bir yöntemini geliştirdiler ve sonrasında kurbanı ‘taklit’ ettiler.

Bu teknik, saldırganın zararlı veya yasadışı çevrimiçi faaliyetlerde bulunmasına ve bu faaliyetlerin kaydının kullanıcıya ait olmasına neden olan çoklu güvenlik etkileri vardır; ayrıca, iki faktörlü kimlik doğrulama savunmaları tehlikeye girer, çünkü kimlik doğrulama sitesi, kullanıcıyı başarılı bir şekilde tanıdığına inanır, bu da çalınan tarayıcı parmak izi profilinin sonucudur.

Ek olarak, saldırganın ‘gölge klonu’, kullanıcı profiline göre reklam içeriğini değiştiren siteleri ziyaret edebilir, bu da kullanıcıya gerçek tarama faaliyetleriyle ilgili olmayan reklam içeriğinin sunulmasına neden olur. Ayrıca, saldırgan, diğer (habersiz) web sitelerinin taklit edilen tarayıcı ID’sine verdiği yanıtlara dayanarak kurban hakkında çok şey çıkarabilir.

Makale, Gummy Browsers: Targeted Browser Spoofing against State-of-the-Art Fingerprinting Techniques başlığını taşır ve Texas A&M Üniversitesi ve Florida Üniversitesi’nden araştırmacılardan gelir.

Gummy Browsers metodolojisinin genel bakışını gösteren şema. Kaynak: https://arxiv.org/pdf/2110.10129.pdf

Gummy Browsers

Bu ‘gummy browsers’ terimi, kurban tarayıcı klonlarının taklit edildiği bir saldırıya atıfta bulunur ve 2000’lerin başındaki ‘Gummy Fingers’ saldırısına benzer, jelatin kopyalarla parmak izi kimlik doğrulama sistemlerini atlatma girişimine gönderme yapar.

Yazarlar şöyle diyor:

‘Gummy Browsers’ın ana amacı, web sunucusunu, meşru bir kullanıcının hizmetlerine erişmeye çalıştığına inandırmak ve böylece kullanıcının duyarlı bilgilerini öğrenmek veya parmak izi kimlik doğrulamaya dayanan çeşitli güvenlik şemalarını atlatmaktır.’

Araştırmacılar devam ediyor:

‘Maalesef, böyle bir bağlama algoritmasına karşı önemli bir tehdit vektörü tespit ettik. Özellikle, bir saldırganın kurbanın tarayıcı özelliklerini yakalayıp taklit edebileceğini ve bu şekilde kendi tarayıcısını kurbanın tarayıcısı olarak sunabileceğini bulduk.’

Yazarlar, geliştirdikleri tarayıcı parmak izi klonlama tekniklerinin ‘kullanıcıların çevrimiçi gizliliği ve güvenliği üzerinde yıkıcı ve uzun süreli bir etkiye sahip olabileceğini’ iddia ediyorlar.

FPStalker ve Electronic Frontier Foundation’ın Panopticlick adlı iki parmak izi sistemi karşıtı testlerde, araştırmacılar sistemi neredeyse her zaman başarılı bir şekilde simüle etmeyi başardılar, sistem beberapa özniteliği dikkate almasa da.

The authors also contend that the victim will be completely oblivious to the attack, making it difficult to circumvent.

Methodology

Browser fingerprinting profilleri, bir kullanıcının web tarayıcısının yapılandırılma şekline bağlı olarak birçok faktör tarafından oluşturulur. İronik olarak, birçok gizlilik koruma savunması, včetně reklam engelleme eklentileri kurma, aslında bir tarayıcı parmak izini daha da belirgin ve hedeflenmesi kolay hale getirebilir.

Browser fingerprinting, çerezlere veya oturum verilerine bağlı değildir, ancak bir domaine girilen kullanıcı hakkında largely kaçınılmaz bir anlık görüntü sunar, eğer bu domaine bu tür bilgileri kullanmak için yapılandırılmışsa.

Bariz olarak kötü niyetli uygulamalardan uzakta, parmak izi genellikle, kullanıcıları hedeflemek için reklamları yönlendirmek, sahtecilik tespiti ve kullanıcı kimlik doğrulaması için kullanılır (bir neden, tarayıcı profilinin değişmesi nedeniyle sitelerin yeniden kimlik doğrulama talep etmesidir).

Araştırmacıların önerdiği yöntem, kurbanın sadece bir web sitesini ziyaret etmesini gerektirir, bu site kurbanın tarayıcı parmak izini kaydetmeye ayarlanmıştır – bir uygulama, yakın zamanda yapılan bir çalışmaya göre, en iyi 100.000 web sitesinin %10’undan fazlasında yaygındır ve Google’ın Federated Learning of Cohorts (FLOC) adlı önerilen çerez tabanlı izleme alternatifinin bir parçasıdır.

Bir kullanıcının tarayıcısından çerezlere gerek kalmadan çıkarılabilen tipik özellikler.

Kullanıcı ziyaretlerinden çıkarılabilen ve klonlanabilen tarayıcı profili, dil ayarları, işletim sistemi, tarayıcı sürümleri ve eklentileri, yüklenen eklentileri, ekran çözünürlüğü, donanım, renk derinliği, saat dilimi, zaman damgaları, yüklenen yazı tipleri, canvas özellikleri, kullanıcı aracısı dizesi, HTTP istek başlıkları, IP adresi ve cihaz dil ayarları gibi tanımlayıcıları içerir. Bu özelliklerin çoğuna erişimi olmadığında, birçok yaygın olarak beklenen web işlevselliği mümkün olmaz.

Reklam Ağlarından Bilgi Çıkarma

Araştırmacılar, kurbanın tarayıcı profilini taklit ederek, kurban hakkında kolayca ortaya çıkarılabilen reklam verilerine dikkat çekiyorlar:

‘Eğer parmak izi kimlik doğrulama, kişiselleştirilmiş ve hedeflenmiş reklamlar için kullanılıyorsa, web sunucusu, saldırganın tarayıcısına, kurbanın tarayıcısına gönderilen aynı veya benzer reklamları gönderecek, çünkü web sunucusu saldırganın tarayıcısını kurbanın tarayıcısı olarak kabul edecektir. Kişiselleştirilmiş reklamlara (örneğin, gebelik ürünleri, ilaçlar ve markalarla ilgili reklamlar) dayanarak, saldırgan kurban hakkında çeşitli duyarlı bilgileri çıkarabilir (örneğin, cinsiyet, yaş grubu, sağlık durumu, ilgi alanları, maaş seviyesi vb.) ve hatta kurbanın kişisel bir davranış profili oluşturabilir.’

‘Bu tür kişisel ve özel bilgilerin sızması, kullanıcı için korkutucu bir gizlilik tehdidi oluşturabilir.’

Tarayıcı parmak izleri zamanla değiştiğinden, kullanıcıyı saldırının gerçekleştiği siteye tekrar getirmek, klonlanmış profili güncel tutacaktır, ancak araştırmacılar, tek seferlik klonlama bile şaşırtıcı derecede uzun süreli etkili saldırı dönemlerini mümkün kılabilir.

Kullanıcı Kimlik Doğrulama Taklit Etme

İki faktörlü kimlik doğrulama savunmalarını atlatmak, siber suçlular için bir avantajdır. Araştırmacılar, birçok güncel kimlik doğrulama çerçevesinin, bir ‘tanınan’ çıkarılan tarayıcı profilini hesapla kullanıcıyı ilişkilendirmek için kullandığını belirtiyorlar. Eğer site, kullanıcıyı son başarılı giriş yapılan cihazda giriş yapmaya çalışırken tanırsa, kullanıcıya iki faktörlü kimlik doğrulama talep etmeyebilir.

Araştırmacılar, Oracle, InAuth ve SecureAuth IdP gibi şirketlerin, bir kullanıcının kayıtlı tarayıcı profilini temel alan ‘kontrol atlamasını’ uyguladığını gözlemliyorlar.

Sahtecilik Tespiti

Çeşitli güvenlik hizmetleri, sahtecilik tespiti için tarayıcı parmak izi kimlik doğrulamayı kullanır. Araştırmacılar, Seon ve IPQualityScore gibi şirketlerin bu tür şirketler olduğunu belirtiyorlar.

Bu nedenle, önerilen metodoloji sayesinde, bir kullanıcıyı haksız yere sahtekar olarak karakterize etmek veya gerçek sahtecilik girişimlerinde kurbanın çalıntı profilini ‘sakal’ olarak kullanmak mümkündür, bu da saldırganın profilini kurbanın profilinden uzaklaştıracaktır.

Üç Saldırı Yüzeyi

Makale, Gummy Browser sisteminin kurbanlara karşı üç şekilde kullanılabileceğini önerir: Acquire-Once-Spoof-Once saldırısı, kurbanın tarayıcı kimliğini bir kerelik saldırı için ele geçirmeyi içerir. Bu durumda, kimliğin ‘yaşı’ önemli değildir, çünkü bilgi hızlı bir şekilde işlenir ve takip edilmez.

İkinci yaklaşım, Acquire-Once-Spoof-Frequently, saldırganın kurbanın profilini观察 ederek web sunucularının bu profile nasıl tepki verdiğini anlamaya çalışmasını içerir (örneğin, belirli içerik türlerini sunan reklam sunucuları, zaten bir tarayıcı profiliyle ilişkili olan ‘tanıdık’ bir kullanıcıyı varsayar).

Son olarak, Acquire-Frequently-Spoof-Frequently saldırısı, kurbanın tarayıcı profilini düzenli olarak güncellemek için tasarlanmış daha uzun vadeli bir plandır, bu da saldırganın kurbanı tekrar saldırının gerçekleştiği siteye getirmesini gerektirir (bu, bir haber sitesi veya blog olarak geliştirilmiş olabilir). Bu şekilde, saldırgan sahtecilik tespiti taklit etmeyi daha uzun bir süre boyunca gerçekleştirebilir.

Çıkarma ve Sonuçlar

Gummy Browsers tarafından kullanılan taklit yöntemleri, betik enjeksiyonu, tarayıcı ayarları ve hata ayıklama araçlarının kullanılması ve betik değiştirme içerir.

Özellikler, JavaScript ile veya olmadan çıkarılabilir. Örneğin, kullanıcı aracısı başlıkları (örneğin, Chrome, Firefox), HTTP başlıklarından türetilen, işlevsel web taraması için gerekli en temel ve engellenemez bilgilerdir.

FPStalker ve Panopticlick karşıtı testlerde, araştırmacılar, üç parmak izi algoritması boyunca ele geçirilen tarayıcı profilinin ortalama ‘sahipliğini’ %0,95’in üzerinde gerçekleştirdiler, bu da ele geçirilen kimlik klonunun çalışmasını sağladı.

Makale, sistem mimarlarının tarayıcı profil özelliklerine güvenmemesi gerektiğini vurguluyor ve özellikle iki faktörlü kimlik doğrulama kullanımını erteleyen veya atlatan bazı büyük kimlik doğrulama çerçevelerini eleştiriyor.

Araştırmacılar şöyle diyor:

‘Gummy Browsers’ın etkisi, özellikle browser-fingerprinting’in gerçek dünyada yaygın olarak benimsenmeye başlandığı düşünüldüğünde, kullanıcıların çevrimiçi güvenliği ve gizliliği üzerinde yıkıcı ve uzun süreli olabilir. Bu saldırı ışığında, çalışmamız, browser fingerprinting’in geniş ölçekli olarak güvenle dağıtılmasının güvenli olup olmadığı sorusunu gündeme getiriyor.’