12 mar. 2021

Nueva técnica de tracking de usuarios mediante CSS y con JavaScript apagado

Según un paper académico elaborado por científicos de EE.UU., Australia e Israel y publicado a comienzos de esta semana, es factible utilizar un navegador web para rastrear a los usuarios, incluso cuando tienen JavaScript completamente deshabilitado.

Esta novedosa técnica de ataque entra dentro de la categoría de los ataques de canal lateral, los que permiten explotar complejos factores del hardware de nuestros equipos para inferir información confidencial, analizando -por ejemplo- las radiaciones eléctricas de un disco duro.

En el caso que nos ocupa, han desarrollado un método para filtrar la información de navegadores web usando únicamente código HTML y CSS, lo que no sólo lo convierte en multiplataforma, sino que permite atacar incluso navegadores con seguridad reforzada como Tor Browser.

Este método, bautizado como CSS Prime+Probe, muestra una web cuyo código incluye una variable que satura la caché (por ejemplo, dotando a un elemento DIV de un nombre de clase con varios millones de caracteres) y a continuación realiza una búsqueda de una subcadena corta y que no existe en dicho texto, lo que obliga a escanear el nombre completo.

El objetivo de esto es conocer el tiempo dedicado por el sistema a completar esta operación de búsqueda, lo cual pueden saber gracias al hecho de que justo antes y después de la misma se llevan a cabo sendas solicitudes de resolución de DNS para acceder a elementos CSS alojados en un servidor online propiedad de los atacantes.

Tras probar esta técnica en equipos que habían sido atacados mientras accedían paralelamente a un gran número de webs distintas, los datos recopilados fueron usados por los académicos creadores de este ataque para entrenar un modelo de red neuronal profunda que permite identificar un conjunto específico de sitios web visitados por un objetivo.

Aunque ataques similares basados en JavaScript (como los de canvas firgerprinting) ofrecen una precisión mucho mayor, según el estudio la precisión alcanzada por esta nueva técnica es lo suficientemente alta como para filtrar datos que podrían permitir a los atacantes identificar y realizar un seguimiento de los usuarios. Y cuenta, además, con la ventaja de la falsa sensación de seguridad de los usuarios que creen haber tomado suficientes medidas deshabilitando el JavaScript.

De hecho, el equipo desarrollador de Google Chrome ya ha declarado en el pasado que, pese a su propio trabajo pionero en el particionamiento de la caché (reservando espacios separados a los diferentes sitios web), los ataques de canal lateral no pueden -por ahora- ser bloqueados por completo dentro de los navegadores.

De hecho, en un documento de trabajo hecho público por el W3C este mismo mes, los ingenieros de Google ya anticipaban que los ataques de canal lateral evolucionarían más allá de JavaScript y se podrían llevar a cabo sólo a través de CSS.

Además, los estudios también han demostrado anteriormente ataques totalmente automatizados como "Rowhammer.js" que se basan únicamente en un sitio web con JavaScript malicioso para desencadenar fallas en el hardware remoto, obteniendo así acceso sin restricciones a los sistemas de los visitantes del sitio web.

Si bien estos canales laterales con fugas se pueden tapar de manera efectiva mediante técnicas de aislamiento de dominio, los proveedores de navegadores han incorporado algunas defensas para ofrecer protección contra ataques de tiempo y huellas dactilares al reducir la precisión de las funciones de medición del tiempo, además de agregar soporte para deshabilitar completamente JavaScript mediante complementos como NoScript.

Los hallazgos, que provienen de un grupo de académicos de la Universidad Ben-Gurion. del Negev, la Universidad de Michigan y la Universidad de Adelaide, se presentará en el Simposio de seguridad de USENIX en agosto.

Fuente: The Hacker News

Suscríbete a nuestro Boletín

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!