Queste nuove tecniche espongono la tua cronologia di navigazione agli aggressori

Un esempio di codice utilizzato dai ricercatori per i loro attacchi. Credito: Università della California San Diego

I ricercatori di sicurezza presso l’UC San Diego e Stanford hanno scoperto quattro nuovi modi per esporre le cronologie di navigazione degli utenti di Internet. Queste tecniche potrebbero essere utilizzate dagli hacker per sapere quali siti web gli utenti hanno visitato mentre navigano sul web.

Le tecniche rientrano nella categoria degli attacchi “history sniffing”, un concetto che risale ai primi anni 2000. Ma gli attacchi dimostrati dai ricercatori del 2018 USENIX Workshop on Offensive Technologies (WOOT) a Baltimora possono profilare o “impronteggiare” l’attività online di un utente in pochi secondi e funzionare con le versioni recenti dei principali browser web.

Tutti gli attacchi sviluppati dai ricercatori nel loro documento WOOT 2018 hanno funzionato su Google Chrome. Due degli attacchi hanno funzionato anche su una serie di altri browser, da Mozilla Firefox a Microsoft Edge, nonché su vari browser di ricerca incentrati sulla sicurezza. L’unico browser che si è dimostrato immune a tutti gli attacchi è il Tor Browser, che in primo luogo non tiene traccia della cronologia di navigazione.

“La mia speranza è che la gravità di alcuni dei nostri attacchi pubblicati spinga i fornitori di browser a rivisitare il modo in cui gestiscono i dati della cronologia e sono felice di vedere già persone di Mozilla, Google e della più ampia comunità del World Wide Web Consortium (W3C). impegnarsi in questo”, ha affermato Deian Stefan, assistente professore di informatica presso la Jacobs School of Engineering della UC San Diego e autore senior del documento.

“Annusare la storia”: annusare le tue tracce sul web

La maggior parte degli utenti di Internet ha ormai familiarità con il “phishing”; i criminali informatici costruiscono siti Web fasulli che imitano, ad esempio, le banche, per indurli con l’inganno a inserire i propri dati di accesso. Più il phisher può conoscere la sua potenziale vittima, più è probabile che l’imbroglio abbia successo. Ad esempio, è molto più probabile che un cliente Chase venga ingannato quando gli viene presentata una falsa pagina di accesso di Chase rispetto a quando il phisher finge di essere Bank of America.

Dopo aver condotto un efficace attacco di sniffing della cronologia, un criminale potrebbe mettere in atto uno schema di phishing intelligente, che abbina automaticamente ogni vittima a una pagina falsa corrispondente alla sua banca effettiva. Il phisher precarica il codice di attacco con il proprio elenco di siti Web bancari di destinazione e lo nasconde, ad esempio, in una pubblicità dall’aspetto normale. Quando una vittima accede a una pagina contenente l’attacco, il codice scorre questo elenco, testando o “sniffando” il browser della vittima alla ricerca di segni che sia stato utilizzato per visitare ciascun sito di destinazione. Quando uno di questi siti risulta positivo, il phisher potrebbe reindirizzare la sua vittima alla corrispondente versione falsa.

Più veloce è l’attacco, più lungo è l’elenco dei siti bersaglio che un utente malintenzionato può “sniffare” in un ragionevole lasso di tempo. Gli attacchi di sniffing della cronologia più veloci hanno raggiunto velocità di migliaia di URL testati al secondo, consentendo agli aggressori di creare rapidamente profili dettagliati dell’attività online dei navigatori. I criminali potrebbero utilizzare questi dati sensibili in diversi modi oltre al phishing: ad esempio, ricattando gli utenti con dettagli imbarazzanti o compromettenti della loro cronologia di navigazione.

Lo sniffing della cronologia può essere utilizzato anche da aziende legittime, ma senza scrupoli, per scopi come il marketing e la pubblicità. Uno studio del 2010 della UC San Diego ha documentato un abuso commerciale diffuso di tecniche di attacco di sniffing della cronologia precedentemente note, prima che queste venissero successivamente risolte dai fornitori di browser.

“Avevi società di marketing su Internet che spuntavano, vendendo “soluzioni” preconfezionate e annusando la storia commerciale, posizionate come strumenti di analisi”, ha affermato Michael Smith, un dottorato di ricerca in informatica. studente alla UC San Diego e autore principale del documento. Gli strumenti pretendevano di offrire approfondimenti sull’attività dei clienti dei loro clienti sui siti Web dei concorrenti, nonché informazioni dettagliate sulla profilazione per il targeting degli annunci, ma a scapito della privacy di tali clienti.

“Anche se non crediamo che ciò stia accadendo ora, strumenti di spionaggio simili potrebbero essere costruiti oggi abusando dei difetti che abbiamo scoperto”, ha affermato Smith.

Nuovi attacchi

Gli attacchi sviluppati dai ricercatori, sotto forma di codice JavaScript, fanno sì che i browser Web si comportino in modo diverso a seconda che un sito Web sia stato visitato o meno. Il codice può osservare queste differenze (o ad esempio, il tempo necessario per eseguire un’operazione o il modo in cui viene gestito un determinato elemento grafico) o raccogliere la cronologia di navigazione del computer. Per progettare gli attacchi, i ricercatori hanno sfruttato funzionalità che consentono ai programmatori di personalizzare l’aspetto della propria pagina Web, controllando caratteri, colori, sfondi e così via, CSS (Cascading Style Sheets), nonché una cache destinata a migliorare le prestazioni di codice web.

I quattro attacchi dei ricercatori prendono di mira i difetti nelle funzionalità del browser relativamente nuove. Ad esempio, un attacco sfrutta una funzionalità aggiunta a Chrome nel 2017, denominata “API CSS Paint”, che consente alle pagine Web di fornire codice personalizzato per disegnare parti del loro aspetto visivo. Utilizzando questa funzione, l’attacco misura quando Chrome esegue nuovamente il rendering di un’immagine collegata a un determinato URL del sito Web di destinazione, in modo invisibile all’utente. Quando viene rilevato un nuovo rendering, indica che l’utente ha precedentemente visitato l’URL di destinazione. “Questo attacco consentirebbe a un utente malintenzionato di controllare circa 6.000 URL al secondo e di sviluppare un profilo delle abitudini di navigazione di un utente a un ritmo allarmante”, ha affermato Fraser Brown, Ph.D. studente a Stanford, che ha lavorato a stretto contatto con Smith.

Sebbene Google abbia immediatamente corretto questo difetto, il più eclatante degli attacchi sviluppati dai ricercatori, gli scienziati informatici descrivono altri tre attacchi nel loro articolo WOOT 2018 che, messi insieme, funzionano non solo su Chrome ma anche su Firefox, Edge, Internet Explorer, ma su Coraggioso pure. Il Tor Browser è l’unico browser noto per essere totalmente immune a tutti gli attacchi, poiché evita intenzionalmente di memorizzare qualsiasi informazione sulla cronologia di navigazione di un utente.

Man mano che i nuovi browser aggiungono nuove funzionalità, questo tipo di attacchi alla privacy è destinato a riemergere.

Una proposta di difesa

I ricercatori propongono una soluzione audace a questi problemi: ritengono che i browser dovrebbero stabilire limiti espliciti per controllare il modo in cui le cronologie di navigazione degli utenti vengono utilizzate per visualizzare pagine Web da siti diversi. Una delle principali fonti di fuga di informazioni era il meccanismo che colora i collegamenti in blu o viola a seconda che l’utente abbia visitato le pagine di destinazione, in modo che, ad esempio, qualcuno che fa clic su una pagina dei risultati di ricerca di Google possa mantenere il proprio posto. Secondo il modello dei ricercatori, fare clic sui collegamenti su un sito Web (ad es. Google) non influenzerebbe il colore dei collegamenti che appaiono su un altro sito Web (ad es. Facebook). Gli utenti potrebbero concedere eccezioni a determinati siti Web di loro scelta. I ricercatori stanno creando un prototipo di questa soluzione e valutando i compromessi di un browser così attento alla privacy.