Обнаружили новый способ, чтобы найти пользователя любого сайта. Рассказываем, как от этого защититься
Исследователи нашли способ, как использовать базовые функции интернета, чтобы найти посетителя сайта без его ведома, пишет Wired.
24.07.2022 / 22:29
Фото: book.cyberyozh.com
Все, от рекламодателей и маркетологов до хакеров на службе правительств и производителей шпионских программ, хотят идентифицировать и отслеживать пользователей в интернете. И хотя для этого уже создана огромная инфраструктура, аппетит к данным и новым инструментам для их сбора ненасытный. Учитывая это, исследователи из Технологического института Нью-Джерси предупреждают на этой неделе о новой технике, которую злоумышленники могут использовать для деанонимизации посетителей веб-сайтов и потенциально узнать о большом количестве интересов пользователей.
Результаты исследования, которые исследователи представят в следующем месяце, показывают, как злоумышленник, который обманом заставит кого-либо открыть вредоносный веб-сайт, может определить, владеет ли посетитель сайта тем или иным идентификатором, например, адресом электронной почты или учетной записью в социальных сетях, связывая посетителя с частью личных данных.
Когда вы посещаете веб-сайт, страница может зафиксировать ваш IP-адрес, но это часто не дает владельцу сайта достаточно информации, чтобы идентифицировать вас. Вместо этого хакер анализирует тонкие особенности активности браузера потенциальной жертвы, чтобы определить, вошел ли он в учетную запись целого ряда сервисов, от YouTube и Dropbox до Twitter, Facebook, TikTok и других. Кроме того, атаки работают против всех основных браузеров, включая Tor Browser, ориентированный на анонимность.
«Если вы обычный пользователь интернета, вы можете не слишком задумываться о вашей конфиденциальности, когда заходите на случайный сайт, — говорит Реза Куртмола, один из авторов исследования и профессор информатики в NJIT, — Но есть определенные категории пользователей интернета, на которых это может оказать более существенное влияние, например, люди, которые организуют и участвуют в политических протестах, журналисты и люди, которые общаются с представителями различных меньшинств. И что делает эти типы атак опасными, так это то, что они тайные. Вы просто заходите на сайт и даже не подозреваете, что вас атакуют».
Риск того, что правительственные хакеры и торговцы кибер-оружием попытаются деанонимизировать пользователей интернета, не просто теоретичен. Исследователи задокументировали ряд методов, используемых в «поле» и видели ситуации, в которых злоумышленники идентифицировали отдельных пользователей, хотя было непонятно, каким образом.
В других теоретических работах рассматривалась атака, подобная той, которую разработали исследователи NJIT, но большая часть этих исследований была сконцентрирована на захвате данных, которыми обмениваются веб-сайты, когда один сервис делает запрос к другому. В результате этой работы браузеры и разработчики веб-сайтов усовершенствовали способы изоляции и ограничение данных при загрузке контента, что сделало эти пути атаки почти не жизнеспособными. Однако, зная, что злоумышленники заинтересованы в поиске новых методов идентификации пользователей, исследователи хотели изучить дополнительные подходы.
Как работает атака?
«Допустим, у вас есть форум для подпольных активистов, и правоохранительные органы тайно взяли его под контроль. — говорит Куртмола, — они хотят идентифицировать пользователей этого форума, но не могут сделать этого напрямую, так как пользователи используют псевдонимы. Предположим, что силовикам удалось собрать список учетных записей Facebook, которые, предположительно, являются пользователями этого форума. Теперь они смогли бы соотнести того, кто посещает форум, с конкретным пользователем Facebook».
Для начала атаки необходимы несколько вещей: сайт, который вы контролируете, список аккаунтов, связанных с людьми, которых он хочет идентифицировать как посетителей этого сайта, и контент, размещенный на платформах аккаунтов из списка жертв, который либо позволяет аккаунтам-мишеням просматривать этот контент, либо блокирует его просмотр — атака работает в обоих направлениях.
Впоследствии злоумышленник встраивает вышеупомянутый контент на вредоносный сайт. Они ждут, кто кликнет на него. Если кто-то из списка жертв посетит сайт, злоумышленники узнают, кто это, проанализировав, какие пользователи могут (или не могут) просматривать встроенный контент.
Атака использует ряд факторов, которые большинство людей считают очевидными: многие крупные сервисы — от YouTube до Dropbox — позволяют пользователям размещать медиафайлы и встраивать их на другие веб-сайты. Обычные пользователи, как правило, имеют учетную запись в этих популярных сервисах и, что очень важно, они часто входят в эти платформы на своих телефонах или компьютерах.
Наконец, эти сервисы позволяют пользователям ограничивать доступ к загруженному на них контенту. Например, вы можете настроить свой аккаунт на Dropbox так, чтобы видео было доступно в частном порядке одному или нескольким другим пользователям. Или вы можете загрузить видео на Facebook в открытом доступе, но заблокировать его просмотр для определенных аккаунтов.
Эти отношения «блокировать» или «разрешить» являются сущностью того, как исследователи обнаружили, что они могут раскрыть личность. Например, в «разрешенном» варианте атаки хакеры могут незаметно поделиться фотографией на Google диске с потенциально интересным адресом Gmail. После они вставляют фотографию на свою вредоносную веб-страницу и заманивают туда цель. Когда браузеры посетителей пытаются загрузить фотографию через Google Drive, злоумышленники могут точно определить, разрешен ли посетителю доступ к содержимому — а именно, контролируют ли они этот адрес электронной почты.
Благодаря существующей защите конфиденциальности на основных платформах, злоумышленник не может непосредственно проверить, смог ли посетитель сайта загрузить содержимое.
Но исследователи из NJIT поняли, что они могут проанализировать доступную информацию о браузере пользователя и поведении его процессора во время выполнения запроса, чтобы сделать вывод о том, был ли запрос на контент разрешен или отклонен.
Эта техника известна как «атака через побочный канал», поскольку исследователи обнаружили, что они могут точно и надежно сделать такое заключение, научив алгоритмы машинного обучения анализировать, казалось бы, несвязанные данные о том, как браузер и устройство жертвы обрабатывают запрос. Как только злоумышленник узнает, что один пользователь, которому он позволил просмотреть контент, сделал это (или что один пользователь, которого он заблокировал, был заблокирован), он деанонимизирует посетителя сайта.
Как бы сложно это ни звучало, исследователи предупреждают, что это будет просто осуществить, если злоумышленники проведут подготовительную работу. Потребуется всего пару секунд, чтобы потенциально раскрыть личность каждого посетителя вредоносного сайта, и пользователю будет практически невозможно обнаружить атаку.
Как от этого защититься?
Исследователи разработали расширение для браузера, которое может предотвратить такие атаки, и оно доступно для Chrome и Firefox. Однако они отмечают, что оно может повлиять на производительность и доступно не для всех браузеров.
Можно ли вообще запретить такую атаку?
По словам исследователей, благодаря масштабному процессу раскрытия информации многим веб-сервисам, браузерам и органам по разработке веб-стандартов, они начали широкое обсуждение того, как всесторонне решить эту проблему. Chrome и Firefox пока что публично не опубликовали ответы.
Куртмола говорит, что для решения проблемы на уровне чипов потребуются фундаментальные изменения в конструкции процессоров. Однако совместные обсуждения в рамках World Wide Web Consortium или других форумов могут помочь найти хорошее решение этой проблемы.
«Поставщики услуг и производители пытаются понять, стоит ли тратить ресурсы на решение этой проблемы. — говорит он, — их надо убедить, что это достаточно серьезная проблема, чтобы инвестировать в нее».