Cuộc Tấn Công Mới ‘Nhân Bản’ và Lạm Dụng ID Trực Tuyến Độc Nhất của Bạn thông qua Kỹ Thuật In Dấu Vân Tay Trình Duyệt

Các nhà nghiên cứu đã phát triển một phương pháp để sao chép các đặc điểm của trình duyệt web của nạn nhân bằng cách sử dụng các kỹ thuật in dấu vân tay trình duyệt, và sau đó ‘giả mạo’ nạn nhân.

Kỹ thuật này có nhiều ý nghĩa về bảo mật: kẻ tấn công có thể thực hiện các hoạt động trực tuyến có hại hoặc thậm chí là bất hợp pháp, với ‘hồ sơ’ của các hoạt động đó được ghi lại cho người dùng; và các biện pháp bảo vệ xác thực hai yếu tố có thể bị compromis, vì trang web xác thực tin rằng người dùng đã được nhận diện thành công dựa trên hồ sơ in dấu vân tay trình duyệt bị đánh cắp.

Ngoài ra, ‘bản sao bóng’ của kẻ tấn công có thể truy cập các trang web thay đổi loại quảng cáo được gửi đến hồ sơ người dùng đó, có nghĩa là người dùng sẽ bắt đầu nhận được nội dung quảng cáo không liên quan đến hoạt động duyệt web thực tế của họ. Hơn nữa, kẻ tấn công có thể suy luận nhiều thông tin về nạn nhân dựa trên cách các trang web khác (không biết) phản ứng với ID trình duyệt giả mạo.

Bài báo này có tiêu đề Trình Duyệt Gummy: Giả Mạo Trình Duyệt Được Nhắm Target Chống lại Các Kỹ Thuật In Dấu Vân Tay Trình Duyệt Hiện Đại, và đến từ các nhà nghiên cứu tại Đại học Texas A&M và Đại học Florida tại Gainesville.

Tổng Quan Về Phương Pháp Gummy Browsers. Nguồn: https://arxiv.org/pdf/2110.10129.pdf

Trình Duyệt Gummy

Các ‘trình duyệt gummy’ là bản sao của trình duyệt nạn nhân, được đặt tên theo cuộc tấn công ‘Gummy Fingers’ được báo cáo vào đầu những năm 2000, đã sao chép dấu vân tay thực sự của nạn nhân với bản sao gelatin để vượt qua hệ thống ID dấu vân tay.

Các tác giả tuyên bố:

‘Mục tiêu chính của Trình Duyệt Gummy là lừa trang web tin rằng một người dùng hợp pháp đang truy cập dịch vụ của họ để họ có thể học hỏi thông tin nhạy cảm về người dùng (ví dụ: sở thích của người dùng dựa trên quảng cáo được cá nhân hóa), hoặc tránh các lược đồ bảo mật khác nhau (ví dụ: xác thực và phát hiện gian lận) phụ thuộc vào in dấu vân tay trình duyệt.’

Họ tiếp tục:

‘Thật không may, chúng tôi xác định một vector đe dọa đáng kể đối với các thuật toán liên kết như vậy. Cụ thể, chúng tôi tìm thấy rằng một kẻ tấn công có thể bắt và giả mạo các đặc điểm trình duyệt của trình duyệt nạn nhân, và do đó có thể “trình bày” trình duyệt của mình như trình duyệt của nạn nhân khi kết nối với một trang web.’

Các tác giả cho rằng các kỹ thuật sao chép in dấu vân tay trình duyệt mà họ đã phát triển đe dọa ‘tác động tàn phá và lâu dài đến quyền riêng tư và bảo mật trực tuyến của người dùng’.

Khi thử nghiệm hệ thống chống lại hai hệ thống in dấu vân tay, FPStalker và Panopticlick của Quỹ Frontier Điện tử, các tác giả đã tìm thấy rằng hệ thống của họ có thể mô phỏng thông tin người dùng bị bắt một cách thành công gần như mọi lúc, mặc dù hệ thống không tính đến một số thuộc tính, bao gồm in dấu vân tay ngăn xếp TCP/IP , cảm biến phần cứng và máy chủ DNS.

Các tác giả cũng cho rằng nạn nhân sẽ hoàn toàn không biết về cuộc tấn công, khiến nó khó bị phát hiện.

Phương Pháp

In dấu vân tay trình duyệt được tạo ra bởi nhiều yếu tố của cách trình duyệt web của người dùng được cấu hình. Điều iron là nhiều biện pháp bảo vệ được thiết kế để bảo vệ quyền riêng tư, bao gồm cài đặt tiện ích mở rộng chặn quảng cáo, thực sự có thể làm cho in dấu vân tay trình duyệt đặc biệt và dễ bị nhắm mục tiêu.

In dấu vân tay trình duyệt không phụ thuộc vào cookie hoặc dữ liệu phiên, mà cung cấp một bản chụp gần như không thể tránh khỏi của thiết lập người dùng cho bất kỳ miền nào mà người dùng đang duyệt, nếu miền đó được cấu hình để khai thác thông tin như vậy.

Ngoài các hoạt động độc hại rõ ràng, in dấu vân tay được sử dụng để nhắm quảng cáo vào người dùng, cho phát hiện gian lận, và cho xác thực người dùng (một lý do tại sao việc thêm tiện ích mở rộng hoặc thực hiện các thay đổi cốt lõi khác đối với trình duyệt của bạn có thể khiến các trang web yêu cầu xác thực lại, dựa trên thực tế rằng hồ sơ trình duyệt của bạn đã thay đổi kể từ lần truy cập cuối cùng).

Phương pháp được đề xuất bởi các nhà nghiên cứu chỉ yêu cầu nạn nhân truy cập một trang web được cấu hình để ghi lại in dấu vân tay trình duyệt của họ – một thực hành mà một nghiên cứu gần đây ước tính là phổ biến trên hơn 10% trong số 100.000 trang web hàng đầu, và là một phần của Federated Learning of Cohorts (FLOC) của Google, đề xuất thay thế theo dõi dựa trên cookie. Nó cũng là công nghệ trung tâm trong các nền tảng quảng cáo nói chung, do đó đạt được nhiều hơn 10% trang web được xác định trong nghiên cứu được đề cập ở trên.

Các khía cạnh điển hình có thể được trích xuất từ trình duyệt người dùng mà không cần cookie.

Các định danh có thể được trích xuất từ một lần truy cập người dùng (được thu thập thông qua API JavaScript và tiêu đề HTTP) vào một hồ sơ trình duyệt có thể được sao chép bao gồm cài đặt ngôn ngữ, hệ điều hành, phiên bản trình duyệt và tiện ích mở rộng, plugin đã cài đặt, độ phân giải màn hình, phần cứng, độ sâu màu, múi giờ, dấu thời gian, phông chữ đã cài đặt, đặc điểm canvas, chuỗi người dùng, tiêu đề yêu cầu HTTP, địa chỉ IP và cài đặt ngôn ngữ thiết bị, trong số những thứ khác. Không có quyền truy cập vào nhiều đặc điểm này, một lượng lớn chức năng web dự kiến sẽ không thể thực hiện được.

Trích Xuất Thông Tin Thông Qua Phản Hồi Mạng Quảng Cáo

Các tác giả lưu ý rằng dữ liệu quảng cáo về nạn nhân khá dễ bị lộ bằng cách giả mạo hồ sơ trình duyệt bị bắt, và có thể được khai thác một cách hữu ích:

‘[Nếu] in dấu vân tay trình duyệt được sử dụng cho quảng cáo được cá nhân hóa và nhắm mục tiêu, máy chủ web, lưu trữ một trang web vô hại, sẽ đẩy cùng một hoặc tương tự quảng cáo đến trình duyệt của kẻ tấn công như những quảng cáo sẽ được đẩy đến trình duyệt của nạn nhân vì máy chủ web coi trình duyệt của kẻ tấn công là trình duyệt của nạn nhân. Dựa trên quảng cáo được cá nhân hóa (ví dụ: liên quan đến sản phẩm mang thai, thuốc và thương hiệu), kẻ tấn công có thể suy luận nhiều thông tin nhạy cảm về nạn nhân (ví dụ: giới tính, nhóm tuổi, tình trạng sức khỏe, sở thích, mức lương, v.v.), thậm chí xây dựng một hồ sơ hành vi cá nhân của nạn nhân.

‘Rò rỉ thông tin cá nhân và riêng tư như vậy có thể gây ra một mối đe dọa quyền riêng tư đáng sợ cho người dùng.’

Vì in dấu vân tay trình duyệt thay đổi theo thời gian, việc giữ cho người dùng quay lại trang web tấn công sẽ giữ hồ sơ bị sao chép cập nhật, nhưng các tác giả duy trì rằng việc sao chép một lần có thể vẫn cho phép thời gian tấn công hiệu quả đáng ngạc nhiên.

Giả Mạo Xác Thực Người Dùng

Việc nhận được hệ thống xác thực từ chối xác thực hai yếu tố là một lợi thế cho tội phạm mạng. Như các tác giả của bài báo mới lưu ý, nhiều khuôn khổ xác thực hiện tại (2FA) sử dụng hồ sơ trình duyệt ‘được nhận diện’ để liên kết tài khoản với người dùng. Nếu hệ thống xác thực của trang web được thỏa mãn rằng người dùng đang cố gắng đăng nhập trên một thiết bị đã được sử dụng tại lần đăng nhập thành công cuối cùng, nó có thể, vì sự tiện lợi của người dùng, không yêu cầu 2FA.

Các tác giả quan sát thấy rằng Oracle, InAuth và SecureAuth IdP đều thực hành một số hình thức ‘tránh kiểm tra’, dựa trên hồ sơ trình duyệt được ghi lại của người dùng.

Phát Hiện Gian Lận

Các dịch vụ bảo mật khác nhau sử dụng in dấu vân tay trình duyệt như một công cụ để xác định khả năng người dùng đang tham gia vào các hoạt động gian lận. Các nhà nghiên cứu lưu ý rằng Seon và IPQualityScore là hai công ty như vậy.

Do đó, có thể, thông qua phương pháp được đề xuất, để mô tả người dùng một cách không công bằng như một kẻ gian lận bằng cách sử dụng ‘hồ sơ bóng’ để kích hoạt ngưỡng của các hệ thống như vậy, hoặc sử dụng hồ sơ bị đánh cắp như một ‘râu’ cho các nỗ lực thực sự nhằm gian lận, làm chệch phân tích pháp y của hồ sơ khỏi kẻ tấn công và hướng tới nạn nhân.

Ba Mặt Phẳng Tấn Công

Bài báo đề xuất ba cách mà hệ thống Trình Duyệt Gummy có thể được sử dụng chống lại nạn nhân: Thu Thập Một Lần – Giả Mạo Một Lần liên quan đến việc chiếm hồ sơ ID trình duyệt của nạn nhân để hỗ trợ một cuộc tấn công một lần, chẳng hạn như một nỗ lực để truy cập vào một miền được bảo vệ với tư cách là người dùng. Trong trường hợp này, ‘tuổi’ của ID là không liên quan, vì thông tin được thực hiện nhanh chóng và không có theo dõi.

Trong một cách tiếp cận thứ hai, Thu Thập Một Lần – Giả Mạo Nhiều Lần, kẻ tấn công đang tìm cách phát triển một hồ sơ của nạn nhân bằng cách quan sát cách các máy chủ web phản ứng với hồ sơ của họ (tức là máy chủ quảng cáo cung cấp nội dung cụ thể dựa trên giả định về một người dùng ‘th quen thuộc’ đã có hồ sơ trình duyệt liên kết với họ).

Cuối cùng, Thu Thập Nhiều Lần – Giả Mạo Nhiều Lần là một kế hoạch dài hạn được thiết kế để cập nhật thường xuyên hồ sơ trình duyệt của nạn nhân bằng cách khiến nạn nhân quay lại trang web xuất khẩu vô hại (có thể được phát triển như một trang web tin tức hoặc blog, ví dụ). Bằng cách này, kẻ tấn công có thể thực hiện giả mạo phát hiện gian lận trong một khoảng thời gian dài hơn.

Trích Xuất và Kết Quả

Các phương pháp giả mạo được sử dụng bởi Trình Duyệt Gummy bao gồm tiêm tập lệnh, sử dụng cài đặt và công cụ gỡ lỗi trình duyệt, và sửa đổi tập lệnh.

Các đặc điểm có thể được xuất khẩu với hoặc không có JavaScript. Ví dụ, tiêu đề người dùng (định danh thương hiệu trình duyệt, chẳng hạn như Chrome, Firefox, v.v.), có thể được suy luận từ tiêu đề HTTP, một số thông tin cơ bản và không thể chặn được cần thiết cho việc duyệt web chức năng.

Khi thử nghiệm hệ thống Trình Duyệt Gummy chống lại FPStalker và Panopticlick, các nhà nghiên cứu đã đạt được ‘sở hữu’ trung bình (của hồ sơ trình duyệt bị chiếm) hơn 0,95 trên ba thuật toán in dấu vân tay, tạo ra một bản sao chức năng của ID bị bắt.

Bài báo nhấn mạnh nhu cầu đối với các kiến trúc sư hệ thống không dựa vào các đặc điểm hồ sơ trình duyệt như một token bảo mật, và ngụ ý chỉ trích một số khuôn khổ xác thực lớn hơn đã áp dụng thực hành này, đặc biệt là khi nó được sử dụng như một phương pháp để duy trì ‘tính thân thiện với người dùng’ bằng cách tránh hoặc trì hoãn việc sử dụng xác thực hai yếu tố.

Các tác giả kết luận:

‘Tác động của Trình Duyệt Gummy có thể là tàn phá và lâu dài đối với bảo mật và quyền riêng tư trực tuyến của người dùng, đặc biệt là khi in dấu vân tay trình duyệt bắt đầu được áp dụng rộng rãi trên thế giới. Ánh sáng của cuộc tấn công này, công việc của chúng tôi đặt ra câu hỏi về việc liệu in dấu vân tay trình duyệt có an toàn để triển khai trên quy mô lớn hay không.’