Investigadores de seguridad de UC San Diego y Stanford han descubierto cuatro nuevas formas de exponer los historiales de navegación de los usuarios de Internet. Los hackers podrían utilizar estas técnicas para saber qué sitios web han visitado los usuarios mientras navegan por la web.
Las técnicas caen en la categoría de ataques de "rastreo de la historia", un concepto que se remonta a principios de la década de 2000. Pero los ataques demostrados por los investigadores en el Taller USENIX 2018 sobre Tecnologías Ofensivas WOOT en Baltimore pueden perfilar o 'huella digital'la actividad en línea de un usuario en cuestión de segundos y funciona en versiones recientes de los principales navegadores web.
Todos los ataques que los investigadores desarrollaron en su artículo WOOT 2018 funcionaron en Google Chrome. Dos de los ataques también funcionaron en una variedad de otros navegadores, desde Mozilla Firefox hasta Microsoft Edge, así como varios navegadores de investigación centrados en la seguridad. El únicoEl navegador que resultó inmune a todos los ataques es el navegador Tor, que no mantiene un registro del historial de navegación en primer lugar.
"Espero que la gravedad de algunos de nuestros ataques publicados empuje a los proveedores de navegadores a revisar cómo manejan los datos del historial, y estoy feliz de ver gente de Mozilla, Google y el Consorcio World Wide Web W3C más ampliola comunidad ya participa en esto ", dijo Deian Stefan, profesor asistente de ciencias de la computación en la Escuela de Ingeniería Jacobs en UC San Diego y autor principal del artículo.
"Análisis de la historia": olfatear tu rastro en la web
La mayoría de los usuarios de Internet ya están familiarizados con el "phishing"; los ciberdelincuentes crean sitios web falsos que imitan, por ejemplo, a los bancos, para engañarlos para que ingresen sus datos de inicio de sesión. Cuanto más aprenda el phisher sobre su víctima potencial, es más probablela estafa es tener éxito. Por ejemplo, es mucho más probable que un cliente de Chase sea engañado cuando se le presenta una página de inicio de sesión falsa de Chase que si el phisher pretende ser Bank of America.
Después de llevar a cabo un ataque de rastreo de historial efectivo, un criminal podría llevar a cabo un esquema de phishing inteligente, que automáticamente empareja a cada víctima con una página falsa correspondiente a su banco real. El phisher precarga el código de ataque con su lista de sitios web de banca objetivo, ylo oculta, por ejemplo, en un anuncio de aspecto ordinario. Cuando una víctima navega a una página que contiene el ataque, el código se ejecuta a través de esta lista, probando o 'olfateando' el navegador de la víctima en busca de signos de que se haya utilizado para visitar cada sitio objetivoCuando uno de estos sitios da positivo, el phisher podría redirigir a su víctima a la versión falsa correspondiente.
Cuanto más rápido es el ataque, más larga es la lista de sitios de destino que un atacante puede "olfatear" en un período de tiempo razonable. Los ataques de detección de historial más rápidos han alcanzado tasas de miles de URL probadas por segundo, lo que permite a los atacantes reunir rápidamente detallesperfiles de la actividad en línea de los internautas. Los delincuentes podrían utilizar estos datos confidenciales de varias maneras además del phishing: por ejemplo, chantajeando a los usuarios con detalles embarazosos o comprometedores de sus historiales de navegación.
El rastreo de historial también puede ser implementado por compañías legítimas, pero sin escrúpulos, para fines de marketing y publicidad. Un estudio de 2010 de UC San Diego documentó el abuso comercial generalizado de técnicas de ataque de rastreo de historial previamente conocidas, antes de que estos fueran posteriormente corregidos por proveedores de navegadores.
"Había empresas de marketing en Internet apareciendo, vendiendo 'soluciones' pre-empaquetadas, olfateando la historia comercial, posicionadas como herramientas de análisis", dijo Michael Smith, un estudiante de doctorado en ciencias de la computación en UC San Diego y autor principal del artículoLas herramientas pretendían ofrecer información sobre la actividad de los clientes de sus clientes en los sitios web de sus competidores, así como información detallada de perfiles para la orientación de anuncios, pero a expensas de la privacidad de esos clientes.
"Aunque no creemos que esto esté sucediendo ahora, herramientas de espionaje similares podrían construirse hoy al abusar de los defectos que descubrimos", dijo Smith.
Nuevos ataques
Los ataques que desarrollaron los investigadores, en forma de código JavaScript, hacen que los navegadores web se comporten de manera diferente en función de si un sitio web ha sido visitado o no. El código puede observar estas diferencias, por ejemplo, el tiempo que tarda una operación en ejecutarseo la forma en que se maneja cierto elemento gráfico, para recopilar el historial de navegación de la computadora. Para diseñar los ataques, los investigadores explotaron las características que permiten a los programadores personalizar la apariencia de su página web, controlando fuentes, colores, fondos, etc.- usando hojas de estilo en cascada CSS, así como un caché destinado a mejorar el rendimiento del código web.
Los cuatro ataques de los investigadores apuntan a fallas en características relativamente nuevas del navegador. Por ejemplo, un ataque aprovecha una característica agregada a Chrome en 2017, denominada "CSS Paint API", que permite a las páginas web proporcionar código personalizado para dibujar partes desu apariencia visual. Usando esta función, el ataque mide cuando Chrome vuelve a renderizar una imagen vinculada a una URL de sitio web objetivo particular, de una manera invisible para el usuario. Cuando se detecta una nueva representación, indica que el usuario ha visitado previamentela URL de destino ". Este ataque permitiría a un atacante verificar alrededor de 6,000 URL por segundo y desarrollar un perfil de los hábitos de navegación de un usuario a un ritmo alarmante", dijo Fraser Brown, un estudiante de doctorado en Stanford, que trabajó estrechamente con Smith.
Aunque Google reparó de inmediato este defecto, el más atroz de los ataques que desarrollaron los investigadores, los informáticos describen otros tres ataques en su documento WOOT 2018 que, en conjunto, funcionan no solo en Chrome sino también en Firefox, Edge, InternetExplorer, pero también en Brave. El navegador Tor es el único navegador que se sabe que es totalmente inmune a todos los ataques, ya que intencionalmente evita almacenar cualquier información sobre el historial de navegación de un usuario.
A medida que los nuevos navegadores agregan nuevas funciones, este tipo de ataques a la privacidad están obligados a resurgir.
Una defensa propuesta
Los investigadores proponen una solución audaz a estos problemas: creen que los navegadores deben establecer límites explícitos que controlen cómo se utilizan los historiales de navegación de los usuarios para mostrar páginas web de diferentes sitios. Una fuente importante de fuga de información fue el mecanismo que colorea los enlaces, ya sea azul o azul.morado dependiendo de si el usuario ha visitado sus páginas de destino, de modo que, por ejemplo, alguien que hace clic en una página de resultados de búsqueda de Google pueda mantener su lugar. Según el modelo de los investigadores, hacer clic en los enlaces de un sitio web por ejemplo, Googleafectar el color de los enlaces que aparecen en otro sitio web por ejemplo, Facebook. Los usuarios podrían otorgar excepciones a ciertos sitios web de su elección. Los investigadores están creando prototipos de esta solución y evaluando las compensaciones de un navegador tan consciente de la privacidad.
Fuente de la historia :
Materiales proporcionado por Universidad de California - San Diego . Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :