Nuevo ataque Gummy Browsers permite falsificar a los perfiles de seguimiento

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Investigadores universitarios de EE. UU., han desarrollado un nuevo ataque de captura de fingerprint y suplantación de navegador llamado "Gummy Browsers". Advierten lo fácil que es llevar a cabo el ataque y las graves implicaciones que puede tener.

Una huella digital o "fingerprint" es un identificador en línea único asociado con un usuario en particular, basado en una combinación de las características de un dispositivo. Estas características podrían incluir la dirección IP de un usuario, el navegador y la versión del sistema operativo, las aplicaciones instaladas, los complementos activos, las cookies e incluso la forma en que el usuario mueve el mouse o escribe en el teclado.

Los sitios web y los anunciantes pueden usar estas "huellas digitales" para confirmar que un visitante es un ser humano, rastrear a un usuario entre sitios o para publicidad dirigida. Las huellas dactilares también se utilizan como parte de algunos sistemas de autenticación, lo que permite que MFA u otras funciones de seguridad se omitan potencialmente si se detecta una huella dactilar válida.

Las huellas digitales son tan valiosas que se venden en los mercados de la dark web, lo que permite a los estafadores y a las amenazas falsificar las huellas digitales de los usuarios para hacerse cargo de las cuentas más fácilmente o realizar fraudes publicitarios.

Gummy Browsers

El ataque "Gummy Browsers" es el proceso de capturar la huella digital de una persona haciéndola visitar un sitio web controlado por un atacante y luego usar esa huella digital en una plataforma de destino para falsificar la identidad de esa persona.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Después de generar una huella digital de un usuario utilizando scripts existentes o personalizados, los investigadores desarrollaron el siguiente método para engañar al usuario en otros sitios:

   - Inyección de scripts: falsificación de la huella digital de la víctima mediante la ejecución de scripts (con Selenium) que sirven valores extraídos por las llamadas a la API de JavaScript.

   - Herramienta de depuración y configuración del navegador: ambos se pueden usar para cambiar los atributos del navegador a cualquier valor personalizado, lo que afecta tanto a la API de JavaScript como al valor correspondiente en el encabezado HTTP.

  - Modificación de secuencias de comandos: cambiar las propiedades del navegador con valores falsificados modificando las secuencias de comandos incrustadas en el sitio web antes de que se envíen al servidor web.

Al capturar el fingerprint de la víctima solo una vez, los investigadores dijeron que podrían engañar a los sistemas de huellas dactilares de última generación, como FPStalker y Panopliclick, durante períodos prolongados.

"Nuestros resultados mostraron que los Gummy Browsers pueden hacerse pasar por el navegador de la víctima de forma transparente casi todo el tiempo sin afectar el seguimiento de los usuarios legítimos", explican los investigadores en un artículo de Arxiv publicado ayer.

Se puede abusar mucho de este tipo de ataque

Los investigadores afirman que los actores de amenazas pueden usar fácilmente el ataque de Gummy Browsers para engañar a los sistemas que utilizan huellas dactilares.

"El impacto de los Gummy Browsers puede ser devastador y duradero en la seguridad en línea y la privacidad de los usuarios, especialmente dado que la toma de huellas digitales del navegador está comenzando a ser ampliamente adoptada en el mundo real", advirtieron los investigadores.

"A la luz de este ataque, nuestro trabajo plantea la cuestión de si es seguro implementar las huellas digitales del navegador a gran escala".

El ataque puede falsificar la identidad de un usuario para hacer que un script aparezca como un humano en lugar de un bot y que se le muestren anuncios dirigidos para realizar fraudes publicitarios.

El ataque Gummy Browsers también puede ayudar a eludir las funciones de seguridad que se utilizan para detectar usuarios legítimos en los servicios de autenticación. Ejemplos de sistemas de autenticación que utilizan huellas digitales incluyen Oracle, Inauth y SecureAuth IdP.

Por ejemplo, SecureAuth ADP se puede configurar para que no realice autenticación multifactor si se encuentra una huella digital legítima.

"Cuando un usuario inicia sesión en un dominio, es posible utilizar el reconocimiento de dispositivos para evitar que tenga que realizar una MFA cada vez que acceda al dominio", explica un artículo de soporte de SecureAuth IDP.

Por último, muchos bancos y sitios minoristas utilizan la toma de huellas dactilares como parte de sus mecanismos de detección de fraude, que pueden evitarse falsificando la identidad de un usuario legítimo.

Actualización 20/10/21: se agregó más contexto sobre cómo los actores de amenazas pueden usar los Gummy Browsers para omitir 2FA en los sistemas de autenticación. También se corrigieron dos casos en los que lo llamábamos ataque Gummy Bear.

"Dado que la adquisición y suplantación de las características del navegador es ajena tanto al usuario como al servidor web remoto, los navegadores Gummy pueden iniciarse fácilmente sin dejar de ser difíciles de detectar"

Sus pruebas arrojaron una tasa de verdaderos positivos de 0.9 y no generaron alarmas para alertar al usuario falsificado de que su 'identidad' en línea fue robada.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta