Un grupo de académicos del Instituto de Tecnología de Nueva Jersey (NJIT) advirtió sobre una técnica novedosa que podría usarse para vencer las protecciones de anonimato e identificar a un visitante único del sitio web.
“Un atacante que tiene control total o parcial sobre un sitio web puede saber si un objetivo específico (es decir, un individuo único) está navegando por el sitio web”, dijeron los investigadores. dijo. “El atacante conoce este objetivo solo a través de un identificador público, como una dirección de correo electrónico o un identificador de Twitter”.
El objetivo basado en caché ataque de anonimización es una fuga entre sitios en la que el adversario aprovecha un servicio como Google Drive, Dropbox o YouTube para compartir de forma privada un recurso (por ejemplo, una imagen, un video o una lista de reproducción de YouTube) con el objetivo, y luego incorpora el recurso compartido en el sitio web del ataque.
Esto se puede lograr, por ejemplo, compartiendo de forma privada el recurso con el objetivo usando la dirección de correo electrónico de la víctima o el nombre de usuario apropiado asociado con el servicio y luego insertando el recurso filtrado usando una etiqueta HTML .
En el siguiente paso, el atacante engaña a la víctima para que visite el sitio web malicioso y haga clic en el contenido antes mencionado, lo que hace que el recurso compartido se cargue como un ventana emergente ventana (a diferencia de una ventana emergente) o una pestaña del navegador: un método que los anunciantes han utilizado para cargar anuncios furtivamente.
Esta página de explotación, tal como la presenta el navegador del objetivo, se usa para determinar si el visitante puede acceder al recurso compartido, el acceso exitoso indica que el visitante es efectivamente el objetivo previsto.
El ataque, en pocas palabras, tiene como objetivo desenmascarar a los usuarios de un sitio web bajo el control del atacante conectando la lista de cuentas vinculadas a esas personas con sus cuentas de redes sociales o direcciones de correo electrónico a través de un contenido compartido.
En un escenario hipotético, un mal actor podría compartir un video alojado en Google Drive con la dirección de correo electrónico de un objetivo y hacer un seguimiento insertando este video en el sitio web del señuelo. Por lo tanto, cuando los visitantes aterrizan en el portal, una carga exitosa del video podría usarse como criterio para inferir si su víctima es una de ellas.
Los ataques, que son prácticos para explotar en sistemas de escritorio y móviles con múltiples microarquitecturas de CPU y diferentes navegadores web, son posibles por medio de un canal lateral basado en caché eso se usa para saber si el recurso compartido se ha cargado y, por lo tanto, distinguir entre usuarios específicos y no específicos.
Dicho de otra manera, la idea es observar las sutiles diferencias de tiempo que surgen cuando los dos conjuntos de usuarios acceden al recurso compartido, lo que, a su vez, ocurre debido a las diferencias en el tiempo que se tarda en devolver una respuesta adecuada desde la web. servidor dependiendo del estado de autorización del usuario.
Los ataques también tienen en cuenta un segundo conjunto de diferencias en el lado del cliente que ocurre cuando el navegador web presenta el contenido relevante o la página de error en función de la respuesta recibida.
“Hay dos causas principales para las diferencias en las fugas de canal lateral observadas entre usuarios objetivo y no objetivo: una diferencia de tiempo del lado del servidor y una diferencia de representación del lado del cliente”, dijeron los investigadores.
Si bien las plataformas más populares, como las de Google, Facebook, Instagram, LinkedIn, Twitter y TikTok, se encontraron susceptibles, un servicio notable que es inmune al ataque es Apple iCloud.
Vale la pena señalar que el método de anonimización se basa en el requisito previo de que el usuario objetivo ya haya iniciado sesión en el servicio. Como mitigación, los investigadores lanzaron una extensión de navegador llamada Leakuidator+ que está disponible para Cromo, Firefoxy navegadores Tor.
Para contrarrestar los canales secundarios de tiempo y representación, se recomienda a los propietarios de sitios web que diseñen servidores web para devolver sus respuestas en tiempo constante, independientemente de si el usuario está habilitado para acceder al recurso compartido, y hacer que sus páginas de error sean lo más similares posible al contenido. páginas para minimizar las diferencias observables por el atacante.
“Como ejemplo, si a un usuario autorizado se le va a mostrar un video, la página de error para el usuario no objetivo también debe mostrar un video”, dijeron los investigadores, y agregar sitios web también debe requerir la interacción del usuario. antes de renderizar el contenido.
“Conocer la identidad precisa de la persona que actualmente está visitando un sitio web puede ser el punto de partida para una variedad de actividades nefastas que puede ejecutar el operador de ese sitio web”.
Los hallazgos llegan semanas después de que investigadores de la Universidad de Hamburgo, Alemania, demostrado que los dispositivos móviles filtran información de identificación, como contraseñas y lugares de vacaciones anteriores, a través de solicitudes de sondeo Wi-Fi.
En un desarrollo relacionado, los investigadores del MIT el mes pasado reveló la causa raíz detrás de un ataque de huellas dactilares en un sitio web no se debe a las señales generadas por la contención de caché (también conocido como un canal lateral basado en caché) sino a interrupciones del sistemaal tiempo que muestra que los canales laterales basados en interrupciones se pueden usar para montar un poderoso ataque de huellas dactilares de sitios web.