Новая хакерская атака может разоблачить анонимных пользователей в любом браузере

Исследователи нашли способ использовать основные функции Интернета для определения того, кто посещает сайт, причем пользователь не может обнаружить взлом.

Маркетологи, хакеры и производители шпионского ПО хотят идентифицировать и отслеживать пользователей в Интернете. И хотя для этого уже создано ошеломляющее количество инфраструктуры, аппетит к данным и новым инструментам для их сбора оказался ненасытным. Помня об этом, исследователи из Технологического института Нью-Джерси на этой неделе рассказывают о новом методе, который злоумышленники могут использовать для деанонимизации посетителей веб-сайтов и потенциального соединения точек во многих компонентах цифровой жизни жертв.

Новая хакерская атака может разоблачить анонимных пользователей в любом браузере

Выводы, которые исследователи NJIT представят на симпозиуме по безопасности Usenix в Бостоне в следующем месяце, показывают, как злоумышленник, который обманом заставляет кого-то загрузить вредоносный веб-сайт, может определить, контролирует ли этот посетитель определенный общедоступный идентификатор, такой как адрес электронной почты или учетная запись в социальной сети, тем самым связывая посетителя с частью потенциально личных данных.

Как работает новая хакерская атака?

Когда вы посещаете веб-сайт, страница может зафиксировать ваш IP-адрес, но это не обязательно дает владельцу сайта достаточно информации, чтобы идентифицировать вас индивидуально. Вместо этого взлом анализирует тонкие особенности активности браузера потенциальной цели, чтобы определить, вошли ли они в учетную запись для множества сервисов, от YouTube и Dropbox до Twitter, Facebook, TikTok и других.

«Если вы обычный интернет-пользователь, вы можете не слишком задумываться о своей конфиденциальности при посещении случайного веб-сайта», — говорит Реза Куртмола, один из авторов исследования и профессор компьютерных наук в NJIT. «Но есть определенные категории интернет-пользователей, на которых это может повлиять в большей степени, например, журналисты и люди, которые общаются с другими членами своей группы меньшинств. И что делает эти типы атак опасными, так это то, что они очень скрытны. Вы просто заходите на сайт и не подозреваете, что вас разоблачили».

Риск того, что хакеры и торговцы кибероружием попытаются деанонимизировать веб-пользователей, не является чисто теоретическим. Исследователи задокументировали ряд методов, используемых в сети, и были свидетелями ситуаций, в которых злоумышленники идентифицировали отдельных пользователей, хотя неясно, как именно.

В другой теоретической работе рассматривалась атака, аналогичная той, которую разработали исследователи NJIT, но большая часть этого предыдущего исследования была сосредоточена на сборе раскрывающих данных, которые просочились между веб-сайтами, когда одна служба отправляет запрос другой. В результате этой предыдущей работы разработчики браузеров и веб-сайтов улучшили способы изоляции и ограничения данных при загрузке контента, что сделало эти потенциальные пути атак менее осуществимыми. Однако, зная, что злоумышленники заинтересованы в поиске методов идентификации пользователей, исследователи хотели изучить дополнительные подходы.

Трудно объяснить, как работает эта атака деанонимизации, но относительно легко понять, когда вы понимаете суть. Кому-то, кто проводит атаку, нужно несколько вещей, чтобы начать: веб-сайт, который они контролируют, список учетных записей, связанных с людьми, которых они хотят идентифицировать как посетивших этот сайт, и контент, размещенный на платформах учетных записей в их целевом списке, который либо позволяет целевым учетным записям просматривать этот контент или блокирует их просмотр — атака работает в обоих направлениях.

Затем злоумышленник встраивает вышеупомянутый контент на вредоносный веб-сайт. Затем они ждут, чтобы увидеть, кто нажмет. Если кто-либо из целевого списка посетит сайт, злоумышленники узнают, кто они, проанализировав, какие пользователи могут (или не могут) просматривать встроенный контент.

Атака использует ряд факторов, которые большинство людей считают само собой разумеющимися: многие крупные сервисы — от YouTube до Dropbox — позволяют пользователям размещать медиафайлы и встраивать их на сторонний веб-сайт. У обычных пользователей обычно есть учетная запись в этих вездесущих сервисах, и, что особенно важно, они часто остаются на этих платформах со своих телефонов или компьютеров. Наконец, эти сервисы позволяют пользователям ограничивать доступ к загружаемому им контенту. Например, вы можете настроить свою учетную запись Dropbox для частного обмена видео с одним или несколькими другими пользователями. Или вы можете публично загрузить видео на Facebook, но запретить его просмотр определенным учетным записям.

Эти «блокирующие» или «разрешающие» отношения являются сутью того, как исследователи обнаружили, что они могут раскрывать личности. Например, в «разрешающей» версии атаки хакеры могут незаметно поделиться фотографией на Google Диске с адресом Gmail, представляющим потенциальный интерес. Затем они встраивают фотографию на свою вредоносную веб-страницу и заманивают туда цель. Когда браузеры посетителей пытаются загрузить фотографию через Google Диск, злоумышленники могут точно определить, разрешен ли посетителю доступ к содержимому, т. е. имеют ли они контроль над рассматриваемым адресом электронной почты.

Благодаря существующим средствам защиты конфиденциальности на основных платформах злоумышленник не может напрямую проверить, смог ли посетитель сайта загрузить контент. Но исследователи NJIT поняли, что они могут анализировать доступную информацию о браузере цели и поведении их процессора, когда происходит запрос, чтобы сделать вывод о том, был ли запрос контента разрешен или отклонен.

Этот метод известен как «атака по побочному каналу», потому что исследователи обнаружили, что они могут точно и надежно сделать это определение, обучив алгоритмы машинного обучения анализировать, казалось бы, несвязанные данные о том, как браузер и устройство жертвы обрабатывают запрос. Как только злоумышленник узнает, что один пользователь, которому он разрешил просматривать контент, сделал это (или что один пользователь, которого они заблокировали, был заблокирован), он деанонимизирует посетителя сайта.

Как бы сложно это ни звучало, исследователи предупреждают, что это будет легко выполнить после того, как злоумышленники проделают подготовительную работу. Потребуется всего пара секунд, чтобы разоблачить каждого посетителя вредоносного сайта, и ничего не подозревающему пользователю будет практически невозможно обнаружить взлом. Исследователи разработали расширение для браузера, которое может предотвратить такие атаки, и оно доступно для Chrome и Firefox. Но они отмечают, что это может повлиять на производительность и доступно не для всех браузеров.

Какие браузеры под прицелом?

Кибератаки работают против всех основных браузеров, включая Tor Browser, ориентированный на анонимность.

По словам исследователей, в результате крупного процесса раскрытия информации многочисленным веб-службам, браузерам и органам веб-стандартов они начали более широкую дискуссию о том, как всесторонне решить эту проблему. На данный момент Chrome и Firefox публично не опубликовали ответы. А Куртмола говорит, что для решения проблемы на уровне микросхем потребуются фундаментальные и, вероятно, неосуществимые изменения в конструкции процессоров. Тем не менее, он говорит, что совместные обсуждения через Консорциум World Wide Web или другие форумы могут в конечном итоге привести к общему решению.

«Производители браузеров пытаются понять, стоит ли пытаться решить эту проблему, — говорит он. «Они должны быть убеждены, что это достаточно серьезная проблема, чтобы инвестировать средства в ее решение».

Оцените статью
Поделиться с друзьями
Валерий Матафонов

Автор блога WM-IT.pro. Занимаюсь разработкой и оптимизацией сайтов с 2010 года.

WM-IT.pro - Блог об информационных технологиях
Добавить комментарий

  1. Green

    Главное — лишь бы не было кибервойны, а анонимности в интернете у нас никогда и не было.

    Ответить