Нова атака «клонує» та зловживає вашим унікальним онлайн-ідентифікатором через відбитки пальців браузера

Дослідники розробили метод копіювання характеристик веб-браузера жертви за допомогою методів зчитування відбитків пальців браузера, а потім «видавати себе» за жертву.

Ця техніка має численні наслідки для безпеки: зловмисник може здійснювати шкідливу або навіть незаконну онлайн-діяльність, а «запис» цієї діяльності буде приписуватися користувачеві; а захист двофакторної автентифікації може бути порушений, оскільки сайт, що здійснює автентифікацію, вважає, що користувача успішно розпізнали на основі викраденого профілю відбитка пальця браузера.

Крім того, «тіньовий клон» зловмисника може відвідувати сайти, які змінюють тип реклами, що відображається в профілі користувача, а це означає, що користувач почне отримувати рекламний контент, не пов’язаний з його фактичною активністю в Інтернеті. Крім того, зловмисник може багато чого зробити про жертву на основі того, як інші (неуважні) вебсайти реагують на підроблений ідентифікатор браузера.

Команда папір має титул Браузери Gummy: цільовий спуфінг браузера проти найсучасніших методів зняття відбитків пальців, і походить від дослідників Техаського університету A&M та Університету Флориди в Гейнсвіллі.

Огляд методології Gummy Browsers.  Джерело: https://arxiv.org/pdf/2110.10129.pdf

Gummy браузери

Однойменні «жуйкові браузери» – це клоновані копії браузера-жертви, названі на честь атаки «Жуйкові пальці», про яку повідомлялося на початку 2000-х років. відбитки справжніх пальців жертви, що були скопійовані з желатиновими копіями, щоб обійти системи ідентифікації відбитків пальців.

Автори стверджують:

«Головна мета Gummy Browsers — обдурити веб-сервер, змусивши його повірити, що до його сервісів звертається легітимний користувач, щоб він міг дізнатися конфіденційну інформацію про користувача (наприклад, інтереси користувача на основі персоналізованої реклами) або обійти різні схеми безпеки (наприклад, автентифікацію та виявлення шахрайства), які залежать від відбитків пальців браузера».

Вони продовжують:

«На жаль, ми виявляємо значний вектор загрози проти таких алгоритмів зв’язування. Зокрема, ми виявили, що зловмисник може захопити та підробити характеристики браузера жертви, і, отже, «представити» свій власний браузер як браузер жертви під час підключення до веб-сайту».

Автори стверджують, що методи клонування відбитків пальців браузера, які вони розробили, становлять загрозу «руйнівний та тривалий вплив на конфіденційність та безпеку користувачів в Інтернеті».

Під час тестування системи з двома системами відбитків пальців, FPStalker та Фонду електронних рубежів Panopticlick, автори виявили, що їхня система здатна успішно моделювати отриману інформацію користувача майже весь час, незважаючи на те, що система не враховує кілька атрибутів, включаючи стек TCP/IP дактилоскопія, апаратні датчики та Резолвери DNS.

Автори також стверджують, що жертва повністю не помічає атаки, що ускладнить її обхід.

Методологія

Відбитки пальців браузера Профілі створюються численними факторами, пов’язаними з налаштуванням веб-браузера користувача. За іронією долі, багато захисних механізмів, розроблених для захисту конфіденційності, включаючи встановлення розширень для блокування реклами, насправді можуть створювати відбиток браузера. більш чіткі та легші для націлювання.

Відбитки веб-переглядача не залежать від файлів cookie або даних сеансу, а радше пропонують a значною мірою неминуче знімок налаштувань користувача для будь-якого домену, який переглядає користувач, якщо цей домен налаштовано на використання такої інформації.

За винятком відверто зловмисних дій, відбитки пальців зазвичай використовуються для націлювання реклами на користувачів, для виявлення шахрайства, А для аутентифікації користувача (одна з причин, чому додавання розширень або внесення інших основних змін до вашого веб-переглядача може призвести до того, що сайти вимагатимуть повторної автентифікації, на основі того факту, що ваш профіль веб-переглядача змінився після вашого останнього відвідування).

Метод, запропонований дослідниками, вимагає від жертви лише відвідування веб-сайту, налаштованого на запис відбитка пальця її браузера – практика, яку нещодавнє дослідження показало... оцінка поширений на понад 10% із 100,000 XNUMX найкращих веб-сайтів, і які форми частина Федеративного навчання когорт Google (FLOC), запропонованої пошуковим гігантом альтернативи відстеженню на основі файлів cookie. Це також центральна технологія в рекламних платформах загалом, таким чином охоплюючи набагато більше, ніж 10% сайтів, визначених у вищезгаданому дослідженні.

Типові аспекти, які можна отримати з браузера користувача без потреби в файлах cookie.

Ідентифікатори, які можна витягти з відвідування користувача (зібрані через API JavaScript і HTTP-заголовки) у клонований профіль браузера, включають налаштування мови, операційну систему, версії та розширення браузера, встановлені плагіни, роздільну здатність екрана, обладнання, глибину кольору, часовий пояс, позначки часу , встановлені шрифти, характеристики полотна, рядок агента користувача, заголовки запитів HTTP, IP-адресу та налаштування мови пристрою тощо. Без доступу до багатьох із цих характеристик велика кількість зазвичай очікуваних веб-функціональних можливостей була б неможливою.

Отримання інформації за допомогою відповідей рекламної мережі

Автори зазначають, що рекламні дані про жертву досить легко викрити, видавши себе за їхній захоплений профіль браузера, і їх можна корисно експлуатувати:

«[Якщо] сканування відбитків пальців браузера використовується для персоналізованої та націленої реклами, веб-сервер, на якому розміщено безпечний веб-сайт, надсилатиме ті самі чи подібні оголошення у браузер зловмисника, як ті, які були б надіслані у браузер жертви, оскільки веб-сайт сервер вважає браузер зловмисника браузером жертви. На основі персоналізованої реклами (наприклад, пов’язаної з продуктами для вагітності, ліками та брендами) зловмисник може отримати різноманітну конфіденційну інформацію про жертву (наприклад, стать, вікова група, стан здоров’я, інтереси, рівень зарплати тощо), навіть створити особистий поведінковий профіль жертви.

«Витік такої особистої та приватної інформації може створювати жахливу загрозу конфіденційності користувача».

Оскільки відбитки пальців браузера змінюються з часом, користувач повертається на сайт атаки, щоб зберегти клонований профіль в актуальному стані, але автори стверджують, що одноразове клонування може забезпечити напрочуд довгострокові ефективні періоди атаки.

Підробка автентифікації користувача

Змусити систему автентифікації відмовитися від двофакторної автентифікації є благом для кіберзлочинців. Як зазначають автори нової статті, багато сучасних систем автентифікації (2FA) використовують «розпізнаний» виведений профіль браузера для пов’язування облікового запису з користувачем. Якщо системи автентифікації сайту переконані, що користувач намагається увійти на пристрої, який використовувався під час останнього успішного входу, для зручності користувача вони можуть не вимагати 2FA.

Це зауважують автори оракул, InAuth та SecureAuth IdP усі практикують певну форму цього «пропуску перевірок» на основі записаного профілю браузера користувача.

Виявлення шахрайства

Різні служби безпеки використовують відбитки пальців браузера як інструмент для визначення ймовірності того, що користувач бере участь у шахрайських діях. Дослідники зазначають, що Сеон та IPQualityScore є дві такі компанії.

Таким чином, за допомогою запропонованої методології можливо або несправедливо характеризувати користувача як шахрая, використовуючи «тіньовий профіль» для спрацьовування порогів таких систем, або ж використовувати викрадений профіль як «бороду» для справжніх спроб шахрайства, відхиляючи судово-медичний аналіз профілю від зловмисника до жертви.

Три поверхні атаки

У документі пропонується три способи використання системи Gummy Browser проти жертви: Придбайте-один раз-підробити-один раз передбачає привласнення ідентифікатора браузера жертви для підтримки одноразової атаки, як-от спроба отримати доступ до захищеного домену під виглядом користувача. У цьому випадку «вік» ідентифікатора не має значення, оскільки інформація обробляється швидко та без подальших дій.

У другому підході, Придбайте-Один-Суф-ЧастоЗловмисник намагається створити профіль жертви, спостерігаючи за тим, як веб-сервери реагують на їхній профіль (тобто рекламні сервери, які надають певні типи контенту, припускаючи, що це «знайомий» користувач, з яким уже пов’язаний профіль браузера).

Нарешті, Придбайте-часто-часто-підмінюйте — це довгострокова хитрість, розроблена для регулярного оновлення профілю браузера жертви, змушуючи жертву повторювати відвідування нешкідливого сайту вилучення (який міг бути розроблений, наприклад, як новинний сайт або блог). Таким чином, зловмисник може виконувати підробку виявлення шахрайства протягом тривалішого періоду часу.

Вилучення та результати

Методи підміни, що використовуються браузерами Gummy, включають впровадження скриптів, використання інструментів налаштування та налагодження браузера, а також модифікацію скриптів.

Характеристики можна ексфільтрувати за допомогою або без JavaScript. Наприклад, заголовки агента користувача (які ідентифікують бренд браузера, як-от Chrome, Firefox, та ін.), можна отримати з HTTP-заголовків, які є однією з найбазовіших та неблокованих даних, необхідних для функціонального перегляду веб-сторінок.

Під час тестування системи Gummy Browser у порівнянні з FPStalker та Panopticlick, дослідники досягли середнього показника «володіння» (присвоєним профілем браузера) понад 0.95 за трьома алгоритмами зчитування відбитків пальців, що дозволило створити працездатний клон захопленого ідентифікатора.

У статті наголошується на необхідності для системних архітекторів не покладатися на характеристики профілю браузера як на токен безпеки, а також неявно критикується деякі з більших систем автентифікації, які прийняли цю практику, особливо там, де вона використовується як метод підтримки «зручності для користувача» шляхом уникнення або відкладення використання двофакторної автентифікації.

Автори роблять висновок:

«Вплив Gummy Browsers може бути руйнівним і тривалим для онлайн-безпеки та конфіденційності користувачів, особливо враховуючи, що зчитування відбитків пальців браузера починає широко застосовуватися в реальному світі. З огляду на цю атаку, наша робота порушує питання про те, чи безпечно розгортати зчитування відбитків пальців браузера у великих масштабах».