Un nuovo attacco, ribattezzato Gummy Browser, consente di clonare e abusare degli ID online univoci degli utenti tramite le impronte digitali dei browser.
In particolare, alcuni ricercatori di sicurezza USA hanno sviluppato un metodo per copiare le caratteristiche del browser web di una vittima utilizzando tecniche di browser fingerprinting e, successivamente, “impersonare” la vittima.
La tecnica di attacco ha molteplici implicazioni di sicurezza: l’attaccante, infatti, può svolgere attività online dannose o addirittura illegali, con la “registrazione” di quelle attività attribuite all’utente. Le difese basate sull’autenticazione a due fattori (2FA), inoltre, potrebbero essere compromesse, perché un sito di autenticazione ritiene che l’utente sia stato riconosciuto correttamente, in base al profilo dell’impronta digitale del browser rubato.
Inoltre, il “clone ombra” dell’attaccante può visitare siti che modificano il tipo di annunci forniti a quel profilo utente, il che significa che l’utente inizierà a ricevere contenuti pubblicitari non correlati alle proprie attività di navigazione effettive.
Inoltre, l’attaccante può dedurre molto sulla vittima in base al modo in cui altri siti Web (ignari) rispondono all’ID del browser contraffatto.
Il fingerprinting del browser: cos’è e come funziona il tracciamento delle nostre attività online
Indice degli argomenti
Gummy Browser: come avviene l’attacco
Gummy Browser, il nuovo e pericoloso exploit del browser è stato presentato dai ricercatori della Texas A&M University e dell’Università della Florida a Gainesville in un documento che si intitola “Gummy Browsers: Targeted Browser Spoofing against State-of-the-Art Fingerprinting Techniques”.
“L’obiettivo principale di Gummy Browsers è ingannare il server Web facendogli credere che un utente legittimo stia accedendo ai suoi servizi in modo che possa apprendere informazioni sensibili sull’utente stesso (ad esempio, i suoi interessi in base agli annunci personalizzati) o aggirare vari schemi di sicurezza (ad es. autenticazione e rilevamento di frodi) che si basano sul fingerprinting del browser”, hanno affermato i ricercatori.
“L’impatto di Gummy Browser potrebbe essere devastante e duraturo sulla sicurezza online e sulla privacy degli utenti”, hanno sottolineato i ricercatori, “soprattutto considerando che l’impronta digitale del browser sta iniziando a essere ampiamente adottata nel mondo reale. Alla luce di questo attacco, il nostro lavoro solleva la questione se il browser fingerprinting sia sicuro da implementare su larga scala”.
Che cos’è una “browser fingerprinting”
Un’impronta digitale (fingerprint) è un identificatore online univoco associato a un particolare utente basato su una combinazione delle caratteristiche di un dispositivo. Queste caratteristiche potrebbero includere l’indirizzo IP di un utente, la versione del browser e del sistema operativo, le applicazioni installate, i componenti aggiuntivi attivi, i cookie e persino il modo in cui l’utente sposta il mouse o digita sulla tastiera.
I siti Web e gli inserzionisti possono utilizzare queste impronte digitali per confermare che un visitatore è umano, per tracciare un utente attraverso i siti o per pubblicità mirata.
Le impronte digitali vengono utilizzate anche come parte di alcuni sistemi di autenticazione, consentendo di ignorare l’autenticazione a più fattori o altre funzionalità di sicurezza se viene rilevata un’impronta digitale valida.
Le impronte digitali sono così preziose da essere vendute nei mercati del Dark Web, consentendo a truffatori e minacce di falsificarle per rilevare più facilmente gli account o partecipare a frodi pubblicitarie.
Gummy Browser: le tre superfici di attacco
Il documento tecnico con i dettagli di Gummy Browsers propone tre modi in cui l’attacco potrebbe essere utilizzato contro una vittima.
Il primo, Acquire-Once-Spoof-Once, comporta l’appropriazione dell’ID del browser della vittima a sostegno di un attacco una tantum, come un tentativo di accedere a un dominio protetto nelle vesti di utente. In questo caso, l’età dell’ID è irrilevante, poiché l’informazione viene gestita rapidamente e senza follow-up.
In un secondo approccio, Acquire-Once-Spoof-Frequently, l’attaccante cerca di sviluppare un profilo della vittima osservando come i server web rispondono al suo profilo (cioè ad server che forniscono tipi specifici di contenuti sull’assunto di un “familiare” ‘ utente a cui è già associato un profilo browser).
Infine, Acquire-Frequently-Spoof-Frequently è uno stratagemma a lungo termine progettato per aggiornare regolarmente il profilo del browser della vittima facendo ripetere alla vittima la sua visita all’innocuo sito di esfiltrazione (che potrebbe essere stato sviluppato come sito di notizie o blog, ad esempio ). In questo modo l’attaccante può eseguire lo spoofing del rilevamento delle frodi per un periodo di tempo più lungo.
Gli impatti di un attacco Gummy Browser
Vari servizi di sicurezza informatica utilizzano il fingerprinting del browser come strumento per determinare la probabilità che un utente sia coinvolto in attività fraudolente.
È quindi possibile, attraverso la metodologia del Gummy Browser, caratterizzare ingiustamente l’utente come truffatore utilizzando il “profilo ombra” per attivare le soglie di tali sistemi, oppure utilizzare il profilo rubato come “barba” per veri e propri tentativi di frode, deviando l’analisi forense del profilo lontano dall’aggressore e verso la vittima.
Il documento, in conclusione, sottolinea la necessità per i System Architect (una delle figure centrali nella progettazione di sistemi informatici soprattutto per quanto riguarda la prestazione e la sicurezza) di non fare affidamento sulle caratteristiche del profilo del browser come token di sicurezza e critica implicitamente alcuni dei più grandi framework di autenticazione che hanno adottato questa pratica, specialmente quando viene utilizzato come metodo per mantenere la “facilità dell’utente” da parte di ovviare o differire l’uso dell’autenticazione a due fattori.
