新攻击“克隆”和滥用您的唯一在线ID通过浏览器指纹识别

研究人员开发了一种方法，使用浏览器指纹识别技术复制受害者的Web浏览器特征，然后“模仿”受害者。这种技术有多个安全含义：攻击者可以进行有害或甚至非法的在线活动，并将这些活动的“记录”归因于用户；并且可以破坏两因素身份验证防御，因为身份验证站点相信用户已被成功识别，基于被盗的浏览器指纹配置文件。此外，攻击者的“影子克隆”可以访问更改向该用户配置文件提供的广告类型的网站，这意味着用户将开始接收与其实际浏览活动无关的广告内容。另外，攻击者可以根据其他（不知情的）网站对欺骗性浏览器ID的响应推断出有关受害者的很多信息。该论文的标题为胶状浏览器：针对最新指纹识别技术的定向浏览器欺骗，来自德克萨斯A&M大学和佛罗里达大学盖恩斯维尔分校的研究人员。

胶状浏览器方法的概述。 来源：https://arxiv.org/pdf/2110.10129.pdf

胶状浏览器

所谓的“胶状浏览器”是受害者浏览器的克隆副本，以早期2000年代报告的“胶状手指”攻击命名，该攻击使用明胶复制副本复制受害者的实际指纹，以绕过指纹ID系统。作者表示：

‘胶状浏览器的主要目标是欺骗Web服务器，使其相信合法用户正在访问其服务，以便可以了解有关用户的敏感信息（例如，基于个性化广告的用户兴趣），或规避依赖于浏览器指纹识别的各种安全方案（例如，身份验证和欺诈检测）。’

他们继续说：

‘不幸的是，我们确定了一个针对此类链接算法的重大威胁向量。具体来说，我们发现攻击者可以捕获和欺骗受害者浏览器的特征，因此可以“呈现”其自己的浏览器作为受害者浏览器，当连接到网站时。’

作者认为，他们开发的浏览器指纹克隆技术威胁着“对用户的在线隐私和安全产生毁灭性和长期的影响”。在测试系统对FPStalker和电子前沿基金会的Panopticlick两种指纹识别系统时，作者发现他们的系统能够几乎每次都成功模拟捕获的用户信息，尽管该系统没有考虑到包括TCP/IP堆栈指纹识别、硬件传感器和DNS解析器在内的几个属性。作者还认为，受害者将完全不知道这一攻击，使其难以规避。

方法

浏览器指纹识别配置文件是通过用户的Web浏览器配置的多个因素生成的。讽刺的是，许多旨在保护隐私的防御措施，包括安装广告拦截扩展，实际上会使浏览器指纹更加独特和容易被针对。浏览器指纹识别不依赖于Cookie或会话数据，而是为任何域提供了用户设置的大致快照，如果该域配置为利用此类信息。除了恶意行为外，指纹识别通常用于针对用户的广告，用于欺诈检测，以及用于用户身份验证（这是为什么添加扩展或对浏览器进行其他核心更改会导致网站要求重新身份验证的原因之一，因为您的浏览器配置文件自上次访问以来已更改）。研究人员提出的方法只需要受害者访问一个配置为记录其浏览器指纹的网站——一种最近的研究估计在前10万个网站中占比超过10%，并且是谷歌的联邦学习聚类（FLOC）的一部分，后者是搜索巨头提出的替代基于Cookie的跟踪的方案。它也是广告技术平台的一项核心技术，因此影响的网站数量远远超过上述研究中确定的10%。

可以从用户浏览器中提取的典型方面，无需Cookie即可实现。