Los atacantes podrían abusar de una "amenaza potencialmente devastadora y difícil de detectar" para recopilar información de huellas digital (fingerprint) del navegador con el objetivo de suplantar a las víctimas sin su conocimiento, comprometiendo así de manera efectiva su privacidad.

Los académicos de la Universidad Texas A&M llamaron al sistema de ataque "Gummy Browsers", comparándolo con una técnica de "Gummy Fingers" de hace casi 20 años que puede suplantar la biometría de huellas dactilares de un usuario.

"La idea es que el atacante 𝐴 primero haga que el usuario 𝑈 se conecte a su sitio web (o a un sitio conocido que controla el atacante) y recopile de forma transparente la información 𝑈 que se utiliza para tomar huellas digitales (como cualquier sitio web de huellas digitales, 𝑊 recopila esta información)", subrayaron los investigadores. "Luego, 𝐴 organiza un navegador en su propia máquina para replicar y transmitir la misma información de huellas digitales cuando se conecta a 𝑊, engañando a 𝑊 al pensar que 𝑈 es el que solicita el servicio en lugar de 𝐴".

El fingerprinting, también llamado huella digital de la máquina, se refiere a una técnica de seguimiento que se utiliza para identificar de forma única a los usuarios de Internet mediante la recopilación de atributos sobre el software y el hardware de un sistema informático remoto, como la elección del navegador, la zona horaria, el idioma predeterminado, la resolución de pantalla, fuentes instaladas e incluso preferencias, así como características de comportamiento que surgen al interactuar con el navegador web del dispositivo.

Por lo tanto, en el caso de que el sitio web rellene anuncios dirigidos basados ​​solo en las huellas dactilares del navegador de los usuarios, podría dar lugar a un escenario en el que el adversario remoto pueda perfilar cualquier objetivo de interés manipulando sus propias huellas dactilares para que coincidan con las de la víctima durante períodos prolongados de tiempo, mientras tanto el usuario y el sitio web permanecen ajenos al ataque.

Dicho de otra manera, al explotar el hecho de que el servidor trata el navegador del atacante como el navegador de la víctima, el primero no solo recibiría anuncios iguales o similares a los de la víctima suplantada, sino que también permite al actor malintencionado inferir información confidencial sobre el usuario (ej., género, grupo de edad, condición de salud, intereses, nivel salarial, etc.) y construir un perfil de comportamiento personal.

En pruebas experimentales, los investigadores encontraron que el sistema de ataque logró tasas promedio de falsos positivos superiores a 0,95, lo que indica que la mayoría de las huellas dactilares falsificadas se reconocieron erróneamente como legítimas, lo que engañó con éxito a los algoritmos de huellas dactilares digitales. Una consecuencia de tal ataque es una violación de la privacidad de los anuncios y eludir los mecanismos defensivos implementados para autenticar a los usuarios y detectar el fraude.

"El impacto de los navegadores gomosos puede ser devastador y duradero en la seguridad en línea y la privacidad de los usuarios, especialmente dado que la toma de huellas digitales del navegador está comenzando a ser ampliamente adoptada en el mundo real", concluyeron los investigadores. "A la luz de este ataque, nuestro trabajo plantea la cuestión de si es seguro implementar las huellas digitales del navegador a gran escala".

Fuente: THN