Afbeelding: Schwarz et al.
Wetenschappers hebben een nieuwe techniek die het lekken van gegevens over de browser van de gebruiker; genoeg om te verslaan anti-fingerprinting systemen en privacy-behoud van de browser-extensies te bieden manieren om gebruikers te herkennen door hun browser en de onderliggende platform op een manier die nog niet eerder is gedaan.
De naam “JavaScript Sjabloon Aanval,” deze nieuwe techniek draait rond het concept van JavaScript eigenschappen en de standaard waarden die in de browser motoren terug voor de basisfuncties van de JavaScript-query ‘ s op zoek naar de waarde van een bepaalde woning.
JavaScript-omgeving sjablonen
De onderzoekers, alle drie uit de Graz University of Technology, in Oostenrijk, gemaakt van een systeem dat automatisch het opvragen en verzamelen van duizenden JavaScript eigenschappen en hun standaard waarden van een gebruiker.
Het idee was om het automatiseren van deze vragen en draai vervolgens browsers, besturingssystemen, hardware-platform, en browser-extensies, voor het verzamelen van de standaard waarden van alle bekende JavaScript-eigenschappen voor elke omgeving/installatie.
Onderzoekers vervolgens bouwde een matrix van elke omgeving de standaard eigenschappen van waarden, het maken van een template — vandaar de naam van de JavaScript-Sjabloon Aanval — voor elke mogelijke detectie scenario, waarin alle milieu-afhankelijke waarden van de eigenschap.
Het onderzoeksteam zegt deze sjablonen kunnen worden gebruikt op een later moment voor het scannen van een bezoekende gebruiker en het detecteren van specifieke omgeving details gebaseerd op de standaard waarden van de eigenschap de browser van de gebruiker ‘ s geeft.
Deze gegevens kunnen worden gebruikt voor het maken van gebruikersprofielen (voor verkeer/gebruiker fingerprinting) die breken gebruiker anonimiteit of voor slinkse wijze, zoals het verfijnen van de gerichtheid van de zero-day exploits.
Een vrij krachtige en nauwkeurig te vallen
Het onderzoeksteam zei tests toonden hun methode was in staat om onderscheid te maken tussen alle 40 geteste omgevingen; onderscheiden browser naar de exacte versie; het bepalen van de geïnstalleerde extensies op basis van de gewijzigde native waarden van de eigenschap; bepalen zelfs individuele extensie-instellingen; het bepalen van de uiterst technische details, zoals de CPU-leverancier van besturingssysteem (niet verklaard worden door user agents, die kan worden vervalst); het bepalen van de aanwezigheid van een browser privé-modus, en zelfs als de browser actief was binnen een virtuele machine.
Deze informatie kan nuttig zijn voor het bijhouden of misschien nuttiger zijn voor de raffinage van exploits. Het hangt allemaal af van wat de dreiging acteur probeert te doen, maar de conclusie is dat de methode is betrouwbaar genoeg om te werken en bypass zelfs privacy-gehard omgevingen, zoals Tor op Android.
Al met al, JavaScript-Sjabloon Aanvallen bleek zeer krachtige, als onderzoekers ontdekten ook een hoop JavaScript eigenschappen die was nog niet officieel gedocumenteerd, die beter de juistheid van hun methode.
Afbeelding: Schwarz et al.
Bovendien, omdat de browsers makers hebben de neiging om het verbeteren van hun software met nieuwe Web Api ‘ s — al die regelbaar is via JavaScript-het nummer van JavaScript eigenschappen is gegroeid in de afgelopen jaren en zal naar verwachting groeien, en het verbeteren van de nauwkeurigheid van JavaScript Sjabloon Aanvallen zelfs meer.
Afbeelding: Schwarz et al.
Het onderzoeksteam zei dat ze hoopte dat de browser makers en privacy extensie-ontwikkelaars maken gebruik van hun werk op het blootleggen van milieu-afhankelijke verschillen tussen JavaScript waarden van de eigenschap om hun producten te verbeteren en de stempel met eventuele mogelijkheden voor de gebruiker fingerprinting.
Meer details over dit onderzoek kan gevonden worden in een white paper genaamd “JavaScript Sjabloon Aanvallen: Automatisch Afleiden Host Informatie voor Gerichte Aanvallen,” beschikbaar voor download vanaf hier, hier en hier. Een 20-minuten durende video presentatie, die het onderzoeksteam heeft op de NDSS 2019 security conference, is hieronder:
Meer browser dekking:
Apple deprecates SHA-1 certificaten in Safari
Opera lanceert Opera GX, ‘ s werelds eerste gaming-browser
Google belooft leuk spelen met ad blockers (weer)Opera, Dappere, Vivaldi te negeren Chrome ad-blocker veranderingen, ondanks de gedeelde codebaseMozilla CEO: Premium-versie van Firefox komt dit fallGoogle Chrome 75 uitgebracht met geheime Reader ModeHow gebruik van het Tor-browser op een Android-apparaat TechRepublicDappere privacy-eerste browser advertenties komen met de beloofde uitbetaling voor u CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters