新攻击通过浏览器指纹“克隆”并滥用您的唯一在线 ID

研究人员开发了一种方法，使用浏览器指纹技术复制受害者网络浏览器的特征，然后“冒充”受害者。

该技术具有多种安全隐患：攻击者可以进行破坏性甚至非法的在线活动，并将这些活动的“记录”归于用户； 并且双因素身份验证防御可能会受到损害，因为身份验证站点根据窃取的浏览器指纹配置文件认为用户已被成功识别

此外，攻击者的“影子克隆”可以访问更改发送到该用户个人资料的广告类型的网站，这意味着用户将开始接收与其实际浏览活动无关的广告内容。 此外，攻击者可以根据其他（不经意的）网站对欺骗性浏览器 ID 的响应方式来推断有关受害者的更多信息。

纸 标题为 Gummy 浏览器：针对最先进的指纹识别技术的有针对性的浏览器欺骗，来自德克萨斯农工大学和佛罗里达大学盖恩斯维尔分校的研究人员。

软糖浏览器

同名的“软糖浏览器”是受害浏览器的克隆副本，以 2000 年代初报道的“软糖手指”攻击命名，该攻击 复制受害者的真实指纹 与明胶副本，以绕过指纹识别系统。

作者指出：

“Gummy Browsers 的主要目标是欺骗网络服务器，使其相信合法用户正在访问其服务，以便它可以了解有关用户的敏感信息（例如，基于个性化广告的用户兴趣），或规避各种攻击。”依赖于浏览器指纹的安全方案（例如身份验证和欺诈检测）。

他们继续：

“不幸的是，我们发现了针对此类链接算法的重大威胁向量。 具体来说，我们发现攻击者可以捕获并欺骗受害者浏览器的浏览器特征，因此在连接到网站时可以将自己的浏览器“呈现”为受害者的浏览器。

作者认为他们开发的浏览器指纹克隆技术威胁到 “对用户的在线隐私和安全造成毁灭性和持久的影响”.

在针对两个指纹识别系统测试系统时， FPS追踪者 和电子前沿基金会 Panopticlick，作者发现他们的系统几乎总是能够成功地模拟捕获的用户信息，尽管系统没有考虑包括 TCP/IP 堆栈在内的多个属性 指纹, 硬件传感器 和 DNS解析器.

作者还认为，受害者将完全忽视攻击，因此很难规避。

研究方法

浏览器指纹 配置文件是由用户 Web 浏览器配置方式的多种因素生成的。 讽刺的是，许多旨在保护隐私的防御措施，包括安装广告拦截扩展，实际上可以制作浏览器指纹 更清晰、更容易定位.

浏览器指纹识别不依赖于 cookie 或会话数据，而是提供了一种 很大程度上是不可避免的 用户正在浏览的任何域的用户设置的快照（如果该域配置为利用此类信息）。

除了明显的恶意行为之外，指纹识别通常用于 目标 向用户投放广告，用于 欺诈检测，和 用户身份验证 （添加扩展程序或对浏览器进行其他核心更改可能导致网站要求重新身份验证的原因之一是，您的浏览器配置文件自上次访问以来已发生更改）。

研究人员提出的方法只需要受害者访问一个配置为记录其浏览器指纹的网站——最近的一项研究发现这种做法 估计 流行于排名前 10 的网站中超过 100,000%，并且 形式 谷歌联合群组学习 (FLOC) 的一部分，该搜索巨头提出了基于 cookie 的跟踪的替代方案。这也是一个 广告技术平台的核心技术 总体而言，因此覆盖范围远远超过上述研究中确定的 10%。

可以从用户访问中提取标识符（通过 JavaScript API 和 HTTP 标头收集）到可克隆的浏览器配置文件中，包括语言设置、操作系统、浏览器版本和扩展、安装的插件、屏幕分辨率、硬件、颜色深度、时区、时间戳、安装的字体、画布特征、用户代理字符串、HTTP 请求标头、IP 地址和设备语言设置等。 如果无法访问其中许多特性，则无法实现许多普遍期望的 Web 功能。

通过广告网络响应提取信息

作者指出，通过模仿受害者捕获的浏览器配置文件，有关受害者的广告数据很容易暴露，并且可以 有效利用:

“[如果]浏览器指纹识别用于个性化和有针对性的广告，托管良性网站的网络服务器会将相同或相似的广告推送到攻击者的浏览器，就像推送到受害者浏览器的广告一样，因为网络服务器将攻击者的浏览器视为受害者的浏览器。 根据个性化广告（例如与怀孕产品、药物和品牌相关的广告），攻击者可以推断出受害者的各种敏感信息（例如性别、年龄组、健康状况、兴趣、工资水平等），甚至建立一个受害者的个人行为概况。

“此类个人和私人信息的泄露可能会给用户带来可怕的隐私威胁。”

由于浏览器指纹会随着时间的推移而变化，让用户返回攻击站点将使克隆的配置文件保持最新，但作者认为，一次性克隆仍然可以实现令人惊讶的长期有效攻击期。

用户身份验证欺骗

让身份验证系统避开双因素身份验证对网络犯罪分子来说是一个福音。 正如新论文的作者指出的那样，许多当前的身份验证 (2FA) 框架使用“可识别的”推断浏览器配置文件将帐户与用户关联起来。 如果站点的身份验证系统确信用户正在尝试在上次成功登录时使用的设备上登录，则为了用户方便，它可能不会要求 2FA。

作者观察到 神谕, 身份验证 和 安全身份验证 IdP 所有人都根据用户记录的浏览器配置文件实践某种形式的“检查跳过”。

欺诈检测

各种安全服务使用浏览器指纹识别作为工具来确定用户参与欺诈活动的可能性。 研究人员指出 善 和 IP质量分数 是两家这样的公司。

因此，通过所提出的方法，有可能通过使用“影子配置文件”触发此类系统的阈值来不公正地将用户定性为欺诈者，或者使用被盗的配置文件作为真正尝试欺诈的“胡须” ，将个人资料的取证分析从攻击者转向受害者。

三个攻击面

该论文提出了 Gummy Browser 系统可用于攻击受害者的三种方式： 获取一次欺骗一次 涉及盗用受害者的浏览器 ID 以支持一次性攻击，例如尝试以用户身份访问受保护的域。 在这种情况下，ID 的“年龄”是无关紧要的，因为该信息会快速执行且无需后续操作。

在第二种方法中， 获取一次欺骗频繁，攻击者试图通过观察网络服务器如何响应其个人资料（即假设“熟悉”用户已经拥有与其关联的浏览器个人资料而提供特定类型内容的广告服务器）来开发受害者的个人资料。 。

最后， 频繁获取、欺骗 是一种长期策略，旨在通过让受害者重复访问无害的渗透网站（例如，该网站可能已开发为新闻网站或博客）来定期更新受害者的浏览器配置文件。 通过这种方式，攻击者可以在较长时间内执行欺诈检测欺骗。

提取和结果

Gummy Browsers使用的欺骗方法包括脚本注入、使用浏览器的设置和调试工具以及脚本修改。

使用或不使用 JavaScript 都可以泄露这些特征。 例如，用户代理标头（标识浏览器的品牌，例如 铬, 火狐等），可以从 HTTP 标头中派生，这是功能性 Web 浏览所必需的一些最基本且不可阻止的信息。

在针对 FPStalker 和 Panopticlick 测试 Gummy Browser 系统时，研究人员在三种指纹识别算法中实现了超过 0.95 的平均“所有权”（适当的浏览器配置文件），从而实现了捕获的 ID 的可行克隆。

本文强调系统架构师不要依赖浏览器配置文件特征作为安全令牌，并含蓄地批评了一些采用这种做法的大型身份验证框架，特别是当它被用作维护“用户友好性”的方法时避免或推迟使用双因素身份验证。

作者总结：

“Gummy 浏览器对用户的在线安全和隐私的影响可能是毁灭性的、持久的，特别是考虑到浏览器指纹识别技术已开始在现实世界中得到广泛采用。” 鉴于这次攻击，我们的工作提出了一个问题：浏览器指纹识别大规模部署是否安全。