Нова атака «клонує» та зловживає вашим унікальним онлайн-ідентифікатором через відбитки пальців браузера

Дослідники розробили метод копіювання характеристик веб-браузера жертви за допомогою методів відбитків пальців браузера, а потім «уособлення» жертви.

Ця техніка має численні наслідки для безпеки: зловмисник може здійснювати шкідливі або навіть незаконні дії в Інтернеті, приписуючи «запис» цих дій користувачеві; і двофакторний захист автентифікації може бути скомпрометований, оскільки сайт автентифікації вважає, що користувача було успішно розпізнано на основі вкраденого профілю відбитків пальців браузера

Крім того, «тіньовий клон» зловмисника може відвідувати сайти, які змінюють тип реклами, що доставляється в цей профіль користувача, що означає, що користувач почне отримувати рекламний вміст, не пов’язаний з його фактичною діяльністю в Інтернеті. Крім того, зловмисник може зробити багато висновків про жертву на основі того, як інші (не помічають) веб-сайти реагують на підроблений ідентифікатор браузера.

Команда папір має титул Браузери Gummy: цільовий спуфінг браузера проти найсучасніших методів зняття відбитків пальців, і походить від дослідників Техаського університету A&M та Університету Флориди в Гейнсвіллі.

Gummy браузери

Однойменні «гумкові браузери» є клонованими копіями браузера-жертви, названого на честь атаки «Gummy Fingers», про яку повідомлялося на початку 2000-х років, яка скопійовані справжні відбитки пальців жертви з желатиновими копіями, щоб обійти системи ідентифікації відбитків пальців.

Автори стверджують:

«Основна мета Gummy Browsers полягає в тому, щоб змусити веб-сервер повірити, що законний користувач отримує доступ до його послуг, щоб отримати конфіденційну інформацію про користувача (наприклад, інтереси користувача на основі персоналізованої реклами) або обійти різні схеми безпеки (наприклад, автентифікація та виявлення шахрайства), які покладаються на відбитки пальців браузера.'

Вони продовжують:

«На жаль, ми виявили значну загрозу проти таких алгоритмів зв’язування. Зокрема, ми виявили, що зловмисник може перехопити та підробити характеристики веб-переглядача жертви, а отже, під час підключення до веб-сайту може «подати» свій власний браузер як браузер жертви».

Автори стверджують, що методи клонування відбитків пальців браузера, які вони розробили, становлять загрозу "руйнівний і тривалий вплив на конфіденційність і безпеку користувачів в Інтернеті".

Під час тестування системи з двома системами відбитків пальців, FPStalker та Electronic Frontier Foundation Panopticlick, автори виявили, що їхня система здатна успішно моделювати отриману інформацію користувача майже весь час, незважаючи на те, що система не враховує кілька атрибутів, включаючи стек TCP/IP дактилоскопія, апаратні датчики та Резолвери DNS.

Автори також стверджують, що жертва повністю не помічає атаки, що ускладнить її обхід.

Методологія

Відбитки пальців браузера профілі генеруються багатьма факторами, як налаштовано веб-браузер користувача. За іронією долі, багато засобів захисту, призначених для захисту конфіденційності, включаючи встановлення розширень для блокування реклами, насправді можуть створити відбиток пальця браузера більш чіткі та легші для націлювання.

Відбитки веб-переглядача не залежать від файлів cookie або даних сеансу, а радше пропонують a значною мірою неминуче знімок налаштувань користувача для будь-якого домену, який користувач переглядає, якщо цей домен налаштовано на використання такої інформації.

Від відверто зловмисних дій зазвичай використовують відбитки пальців мета реклами у користувачів, для виявлення шахрайства, А для аутентифікації користувача (одна з причин, чому додавання розширень або внесення інших основних змін до вашого веб-переглядача може призвести до того, що сайти вимагатимуть повторної автентифікації, на основі того факту, що ваш профіль веб-переглядача змінився після вашого останнього відвідування).

Метод, запропонований дослідниками, вимагає від жертви лише відвідування веб-сайту, налаштованого на запис відбитків пальців у веб-переглядачі – практика, яку нещодавнє дослідження оцінка поширений на понад 10% із 100,000 XNUMX найкращих веб-сайтів, і які форми є частиною Federated Learning of Cohorts (FLOC) Google, запропонованої пошуковим гігантом альтернативи відстеження на основі файлів cookie. Це також a центральна технологія в рекламних платформах загалом, таким чином охоплюючи набагато більше, ніж 10% сайтів, визначених у вищезгаданому дослідженні.

Ідентифікатори, які можна витягти з відвідування користувача (зібрані через API JavaScript і HTTP-заголовки) у клонований профіль браузера, включають налаштування мови, операційну систему, версії та розширення браузера, встановлені плагіни, роздільну здатність екрана, обладнання, глибину кольору, часовий пояс, позначки часу , встановлені шрифти, характеристики полотна, рядок агента користувача, заголовки запитів HTTP, IP-адресу та налаштування мови пристрою тощо. Без доступу до багатьох із цих характеристик велика кількість зазвичай очікуваних веб-функціональних можливостей була б неможливою.

Отримання інформації за допомогою відповідей рекламної мережі

Автори зазначають, що рекламні дані про жертву досить легко викрити, видавши себе за їхній захоплений профіль браузера, і їх можна корисно експлуатувати:

«[Якщо] сканування відбитків пальців браузера використовується для персоналізованої та націленої реклами, веб-сервер, на якому розміщено безпечний веб-сайт, надсилатиме ті самі чи подібні оголошення у браузер зловмисника, як ті, які були б надіслані у браузер жертви, оскільки веб-сайт сервер вважає браузер зловмисника браузером жертви. На основі персоналізованої реклами (наприклад, пов’язаної з продуктами для вагітності, ліками та брендами) зловмисник може отримати різноманітну конфіденційну інформацію про жертву (наприклад, стать, вікова група, стан здоров’я, інтереси, рівень зарплати тощо), навіть створити особистий поведінковий профіль жертви.

«Витік такої особистої та приватної інформації може створити жахливу загрозу конфіденційності користувача».

Оскільки відбитки пальців браузера змінюються з часом, користувач повертається на сайт атаки, щоб зберегти клонований профіль в актуальному стані, але автори стверджують, що одноразове клонування може забезпечити напрочуд довгострокові ефективні періоди атаки.

Підробка автентифікації користувача

Отримати систему автентифікації, щоб уникати двофакторної автентифікації, є благом для кіберзлочинців. Як зазначають автори нової статті, багато сучасних фреймворків автентифікації (2FA) використовують «розпізнаний» профіль браузера, щоб пов’язати обліковий запис із користувачем. Якщо система автентифікації сайту переконається, що користувач намагається увійти на пристрої, який використовувався під час останнього успішного входу, вона може, для зручності користувача, не вимагати 2FA.

Це зауважують автори оракул, InAuth та SecureAuth IdP усі практикують певну форму цього «пропуску перевірки» на основі записаного профілю браузера користувача.

Виявлення шахрайства

Різні служби безпеки використовують відбитки пальців браузера як інструмент для визначення ймовірності того, що користувач бере участь у шахрайських діях. Дослідники зазначають, що Сеон та IPQualityScore є дві такі компанії.

Таким чином, за допомогою запропонованої методології можна або несправедливо охарактеризувати користувача як шахрая, використовуючи «тіньовий профіль» для запуску порогів таких систем, або використовувати викрадений профіль як «бороду» для справжніх спроб шахрайства. , відхиляючи криміналістичний аналіз профілю від зловмисника до жертви.

Три поверхні атаки

У документі пропонується три способи використання системи Gummy Browser проти жертви: Придбайте-один раз-підробити-один раз передбачає присвоєння ідентифікатора браузера жертви для одноразової атаки, наприклад спроби отримати доступ до захищеного домену під виглядом користувача. У цьому випадку «вік» ідентифікатора не має значення, оскільки інформація обробляється швидко та без подальших дій.

У другому підході, Придбайте-Один-Суф-Часто, зловмисник намагається створити профіль жертви, спостерігаючи за тим, як веб-сервери реагують на їхній профіль (тобто рекламні сервери, які надають певні типи вмісту за припущенням «знайомого» користувача, який уже має пов’язаний із ним профіль браузера) .

Нарешті, Придбайте-часто-часто-підмінюйте це довгострокова хитрість, призначена для регулярного оновлення профілю браузера жертви шляхом повторного відвідування жертвою нешкідливого сайту ексфільтрації (який, можливо, був розроблений як сайт новин або блог, наприклад). Таким чином зловмисник може виконувати підробку для виявлення шахрайства протягом більш тривалого періоду часу.

Вилучення та результати

Методи спуфінгу, які використовує Gummy Browsers, включають впровадження сценарію, використання параметрів браузера та інструментів налагодження, а також модифікацію сценарію.

Характеристики можна ексфільтрувати за допомогою або без JavaScript. Наприклад, заголовки агента користувача (які ідентифікують бренд браузера, як-от Chrome, Firefox, та ін.), можна отримати із заголовків HTTP, основної інформації, яка не підлягає блокуванню, необхідної для функціонального веб-перегляду.

Під час тестування системи Gummy Browser проти FPStalker і Panopticlick дослідники досягли середнього «володіння» (присвоєним профілем браузера) понад 0.95 за трьома алгоритмами відбитків пальців, створюючи працездатний клон захопленого ідентифікатора.

У документі наголошується на тому, що системним архітекторам необхідно не покладатися на характеристики профілю браузера як маркер безпеки, і неявно критикуються деякі з більших інфраструктур автентифікації, які прийняли цю практику, особливо там, де вона використовується як метод підтримки «зручності для користувача» уникнення або відстрочка використання двофакторної автентифікації.

Автори роблять висновок:

«Вплив Gummy Browsers може бути руйнівним і тривалим на онлайн-безпеку та конфіденційність користувачів, особливо з огляду на те, що сканування відбитків пальців у браузері починає широко застосовуватися в реальному світі. У світлі цієї атаки наша робота піднімає питання, чи безпечно розгортати відбитки пальців браузера у великих масштабах.