Nuevo ataque de canal lateral de caché rompe el anonimato de los usuarios

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un grupo de académicos del Instituto de Tecnología de Nueva Jersey (NJIT) advirtió sobre una técnica novedosa que podría usarse para vencer las protecciones de anonimato e identificar a un visitante único del sitio web.

"Un atacante que tiene control total o parcial sobre un sitio web puede saber si un objetivo específico (es decir, un individuo único) está navegando por el sitio web", dijeron los investigadores. "El atacante conoce este objetivo solo a través de un identificador público, como una dirección de correo electrónico o un identificador de Twitter".

El ataque de anonimización dirigido basado en caché es una filtración entre sitios, en la que el adversario aprovecha un servicio como Google Drive, Dropbox o YouTube para compartir de forma privada un recurso (por ejemplo, una imagen, un video o una lista de reproducción de YouTube) con el objetivo, seguido de incrustar el recurso compartido en el sitio web del ataque.

Esto se puede lograr, por ejemplo, compartiendo de forma privada el recurso con el objetivo usando la dirección de correo electrónico de la víctima o el nombre de usuario apropiado asociado con el servicio y luego insertando el recurso filtrado usando una etiqueta HTML <iframe>.

En el siguiente paso, el atacante engaña a la víctima para que visite el sitio web malicioso y haga clic en el contenido antes mencionado, lo que hace que el recurso compartido se cargue como una ventana emergente (en lugar de una ventana emergente) o una pestaña del navegador: un método que han utilizado los anunciantes para cargar anuncios a escondidas.

Esta página de explotación, tal como la presenta el navegador del objetivo, se usa para determinar si el visitante puede acceder al recurso compartido, el acceso exitoso indica que el visitante es efectivamente el objetivo previsto.

El ataque, en pocas palabras, tiene como objetivo desenmascarar a los usuarios de un sitio web bajo el control del atacante al conectar la lista de cuentas vinculadas a esas personas con sus cuentas de redes sociales o direcciones de correo electrónico a través de un contenido compartido.

En un escenario hipotético, un mal actor podría compartir un video alojado en Google Drive con la dirección de correo electrónico de un objetivo y seguirlo insertando este video en el sitio web del señuelo. Por lo tanto, cuando los visitantes aterrizan en el portal, una carga exitosa del video podría usarse como criterio para inferir si su víctima es una de ellas.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los ataques, que son prácticos para explotar en sistemas de escritorio y móviles con múltiples microarquitecturas de CPU y diferentes navegadores web, son posibles por medio de un canal lateral basado en caché que se usa para determinar si el recurso compartido se ha cargado y, por lo tanto, distinguir entre objetivos, y usuarios no objetivos.

Dicho de otra manera, la idea es observar las sutiles diferencias de tiempo que surgen cuando los dos conjuntos de usuarios acceden al recurso compartido, lo que, a su vez, ocurre debido a las diferencias en el tiempo que se tarda en devolver una respuesta adecuada desde el servidor web dependiendo del estado de autorización del usuario.

Los ataques también tienen en cuenta un segundo conjunto de diferencias en el lado del cliente que ocurre cuando el navegador web presenta el contenido relevante o la página de error en función de la respuesta recibida.

"Hay dos causas principales para las diferencias en las fugas de canal lateral observadas entre usuarios objetivo y no objetivo: una diferencia de tiempo del lado del servidor y una diferencia de representación del lado del cliente", dijeron los investigadores.

Si bien las plataformas más populares, como las de Google, Facebook, Instagram, LinkedIn, Twitter y TikTok, se encontraron susceptibles, un servicio notable que es inmune al ataque es Apple iCloud.

Vale la pena señalar que el método de anonimización se basa en el requisito previo de que el usuario objetivo ya haya iniciado sesión en el servicio. Como mitigación, los investigadores lanzaron una extensión para el navegador llamada Leakuidator+ que está disponible para los navegadores Chrome, Firefox y Tor.

Para contrarrestar los canales secundarios de tiempo y representación, se recomienda a los propietarios de sitios web que diseñen servidores web para devolver sus respuestas en tiempo constante, independientemente de si el usuario está habilitado para acceder al recurso compartido, y que hagan que sus páginas de error sean lo más similares posible al contenido de dichas páginas para minimizar las diferencias observables por el atacante.

"Como ejemplo, si a un usuario autorizado se le va a mostrar un video, la página de error para el usuario no objetivo también debe mostrar un video", dijeron los investigadores, y agregar sitios web también debe requerir la interacción del usuario. antes de renderizar el contenido.

"Conocer la identidad precisa de la persona que actualmente está visitando un sitio web puede ser el punto de partida para una variedad de actividades nefastas que puede ejecutar el operador de ese sitio web".

Los hallazgos llegan semanas después de que investigadores de la Universidad de Hamburgo, Alemania, demostraran que los dispositivos móviles filtran información de identificación, como contraseñas y lugares de vacaciones anteriores, a través de solicitudes de sondeo de Wi-Fi.

En un desarrollo relacionado, los investigadores del MIT revelaron el mes pasado que la causa raíz detrás de un ataque de huellas dactilares (fingerprinting attack) en un sitio web no se debe a las señales generadas por la contención de caché (también conocido como un canal lateral basado en caché) sino a las interrupciones del sistema, al tiempo que muestra ese lado basado en interrupciones. Los canales se pueden usar para montar un poderoso ataque de huellas dactilares en el sitio web.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta