Immagine: Schwarz et al.
Gli accademici hanno a venire con una nuova tecnica che le perdite di dati sugli utenti’ browser; abbastanza per sconfiggere anti-impronte digitali e sistemi di privacy-preserving estensioni del browser per fornire modi per identificare gli utenti tramite il loro browser e piattaforma di base in un modo che non è stato fatto prima.
Chiamato “JavaScript Modello di Attacco,” questa nuova tecnica, ruota intorno al concetto di proprietà JavaScript e i valori di default del browser, motori di ritorno per JavaScript di base di query di ricerca il valore di una certa proprietà.
Ambiente JavaScript modelli
I ricercatori, tutti e tre da Graz University of Technology, in Austria, ha creato un sistema che consente di automatizzare l’esecuzione di query e la raccolta di migliaia di JavaScript proprietà e i loro valori di default da un ambiente utente.
L’idea di base era quella di automatizzare queste query e poi ruotare browser, sistemi operativi, la piattaforma hardware e le estensioni del browser, raccogliere i valori predefiniti di tutte le note proprietà JavaScript per ogni ambiente/impianto.
I ricercatori hanno poi costruito una matrice di ogni ambiente di default i valori delle proprietà, la creazione di un template — da qui il nome di JavaScript Modello di Attacco, per ogni eventuale rilevazione scenario, elenco di tutti dipendenti dall’ambiente i valori delle proprietà.
Il gruppo di ricerca dice che questi modelli possono essere utilizzati in seguito per eseguire la scansione di un utente di visita e di rilevare specifici dell’ambiente in base all’impostazione predefinita i valori di proprietà dell’utente del browser restituisce.
Questi dati possono essere utilizzati per la creazione di profili utente (per il traffico/utente impronte digitali) che si rompono utente anonimato o per mezzi sleali, come la raffinazione il targeting di exploit zero-day.
Una bella potente e preciso attacco
Il team di ricerca ha detto che i test hanno dimostrato il loro metodo era in grado di distinguere tra tutti i 40 testato ambienti; distinguere browser giù per la versione esatta; determinare le estensioni installate in base a come hanno modificato nativo valori di proprietà; determinare anche le singole impostazioni di estensione; determinare estremamente dettagli tecnici come la CPU produttore, sistema operativo vero e proprio (non quello dichiarato dall’utente agenti, che possono essere false); determinare la presenza di un browser in modalità privata; e anche se il browser è in esecuzione su una macchina virtuale.
Queste informazioni potrebbero essere utili per il monitoraggio o potrebbe essere più utile per la raffinazione di exploit. Tutto dipende da ciò che la minaccia attore sta cercando di fare, ma la conclusione è che il metodo è sufficientemente affidabile per lavoro e ignorare anche la privacy-temprato ambienti, come Tor su Android.
Tutto in tutti, JavaScript Modello di Attacchi si è rivelato essere molto potenti, come i ricercatori hanno inoltre scoperto che un gran numero di proprietà JavaScript che non era stato ufficialmente documentato, che ha migliorato l’accuratezza del loro metodo.
Immagine: Schwarz et al.
Inoltre, poiché i browser produttori tendono a migliorare il loro software con le nuove Api Web-che sono tutti controllabili tramite JavaScript — il numero di proprietà JavaScript è cresciuta negli ultimi anni ed è destinato a crescere, e migliorare la precisione di JavaScript Modello Attacchi ancora di più.
Immagine: Schwarz et al.
Il team di ricerca ha detto che spera che i produttori di browser e privacy gli sviluppatori di estensioni che utilizzano il loro lavoro sulla scoperta di ambiente-dipendente differenze tra JavaScript valori di proprietà per migliorare i loro prodotti e stroncare qualsiasi opportunità per l’utente di fingerprinting.
Ulteriori dettagli su questa ricerca può essere trovato in un libro bianco, denominato “JavaScript Modello di Attacchi: Automaticamente la Deduzione di Host Informazioni Mirate Exploit”, disponibile per il download da qui, e qui. 20 minuti di video di presentazione, che il team di ricerca ha dato al NDSS 2019 conferenza di sicurezza, è disponibile di seguito:
Più browser copertura:
Apple sconsigliato SHA-1 certificati in Safari
Opera lancia Opera GX, il primo del mondo di gioco browser
Google promette bello giocare con ad-bloccanti (nuovo), Opera, Coraggioso, Vivaldi ignorare Chrome ad-blocker modifiche, nonostante condiviso codebaseMozilla CEO: Premium versione di Firefox è venuta questa fallGoogle Chrome 75 pubblicato con segreto Lettore ModeHow per utilizzare Tor browser su un dispositivo Android TechRepublicCoraggioso privacy-primo browser annunci di arrivare con la promessa di vincita per CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati