Nuevo ataque al navegador permite rastrear usuarios en línea con JavaScript deshabilitado

Los investigadores han descubierto un nuevo canal lateral que, según dicen, puede explotarse de manera confiable para filtrar información de los navegadores web que luego podrían aprovecharse para rastrear a los usuarios incluso cuando JavaScript está completamente deshabilitado.

«Este es un ataque de canal lateral que no requiere JavaScript para ejecutarse», dijeron los investigadores. «Esto significa que los bloqueadores de secuencias de comandos no pueden detenerlo. Los ataques funcionan incluso si elimina todas las partes divertidas de la experiencia de navegación web. Esto hace que sea muy difícil de prevenir sin modificar partes profundas del sistema operativo».

Al evitar JavaScript, los ataques de canal lateral también son independientes de la arquitectura, lo que da como resultado ataques de huellas dactilares de sitios web de microarquitectura que funcionan en plataformas de hardware, incluidas Intel Core, AMD Ryzen, Samsung Exynos 2100 y Apple M1 CPU, lo que lo convierte en el primer canal lateral conocido. ataque a los nuevos conjuntos de chips basados ​​en ARM del fabricante de iPhone.

Los hallazgos, que provienen de un grupo de académicos de la Universidad Ben-Gurion. del Negev, la Universidad de Michigan y la Universidad de Adelaide, se presentarán en el Simposio de Seguridad de USENIX en agosto.

Los ataques de canal lateral generalmente se basan en datos indirectos como el tiempo, el sonido, el consumo de energía, las emisiones electromagnéticas, las vibraciones y el comportamiento de la memoria caché en un esfuerzo por inferir datos secretos en un sistema. Específicamente, los canales laterales de microarquitectura explotan el uso compartido de los componentes de un procesador a través del código que se ejecuta en diferentes dominios de protección para filtrar información secreta como claves criptográficas.

Además, los estudios también han demostrado previamente ataques completamente automatizados como «Rowhammer.js» que se basan únicamente en un sitio web con JavaScript malicioso para desencadenar fallas en el hardware remoto, obteniendo así acceso sin restricciones a los sistemas de los visitantes del sitio web.

Si bien estos canales laterales con fugas se pueden tapar de manera efectiva mediante técnicas de aislamiento de dominio, los proveedores de navegadores han incorporado defensas para ofrecer protección contra ataques de tiempo y huellas dactilares al reducir la precisión de las funciones de medición de tiempo, además de agregar soporte para deshabilitar completamente JavaScript usando complementos. como NoScript.

Sin embargo, la última investigación publicada esta semana tiene como objetivo eludir tales mitigaciones basadas en el navegador mediante la implementación de un ataque de canal lateral llamado «CSS Prime + Probe» construido únicamente con HTML y CSS, lo que permite que el ataque funcione incluso en navegadores reforzados como Tor, Chrome Zero y DeterFox que tienen JavaScript completamente deshabilitado o limitan la resolución de la API del temporizador.

«Una tendencia común en estos enfoques es que son sintomáticos y no abordan la causa raíz de la fuga, es decir, el intercambio de recursos microarquitectónicos», señalaron los investigadores. «En cambio, la mayoría de los enfoques intentan evitar las fugas modificando el comportamiento del navegador, logrando diferentes equilibrios entre seguridad y usabilidad».

Primero, una pequeña introducción sobre los canales laterales basados ​​en caché: a diferencia de los ataques Flush + Reload, en los que un espía puede usar una instrucción de vaciado de caché (p. ej., clflush en x86) para vaciar líneas de caché específicas y determinar si la víctima accedió a estos datos por Al volver a acceder a la misma línea de memoria y programar el acceso para un acierto (los datos están de vuelta en la caché) o una falla (la víctima no accede), Prime + Probe requiere que el atacante llene toda la caché compartida para desalojar los datos de la víctima. desde el caché, y luego cronometrando sus propios accesos después de llenar el caché: la presencia de un error de caché indica que la víctima accedió a la línea de caché correspondiente, lo que provocó que se eliminaran los datos del espía.

Aunque estos métodos explotan un canal de sincronización encubierto en la memoria caché de la CPU, el nuevo ataque ideado por los investigadores de Ben-Gurion apunta a un canal lateral basado en la memoria caché en los navegadores web modernos.

Específicamente, la técnica CSS Prime + Probe se basa en representar una página web que incluye una variable de cadena HTML larga que cubre todo el caché (por ejemplo, un elemento

con un nombre de clase que contiene dos millones de caracteres), luego realiza una búsqueda de una variable de cadena corta , subcadena inexistente en el texto, lo que a su vez obliga a la búsqueda a escanear toda la cadena. En el paso final, el tiempo para llevar a cabo esta operación de sondeo se envía a un servidor controlado por el atacante.

«El atacante primero incluye en el CSS un elemento de un dominio controlado por el atacante, lo que obliga a la resolución de DNS», explicaron los investigadores. «El servidor DNS malicioso registra la hora de la solicitud de DNS entrante. Luego, el atacante diseña una página HTML que evoca una búsqueda de cadenas de CSS, sondeando efectivamente el caché. Esta búsqueda de cadenas es seguida por una solicitud de un elemento CSS que requiere resolución de DNS Finalmente, la diferencia de tiempo entre solicitudes de DNS consecutivas corresponde al tiempo que se tarda en realizar la búsqueda de cadenas, lo que […] es un proxy para la contención de caché «.

Para evaluar la efectividad de los métodos a través de ataques de huellas dactilares de sitios web, los investigadores utilizaron el canal lateral antes mencionado, entre otros, para recopilar rastros del uso de caché mientras cargaban diferentes sitios web, incluidos los sitios web de Alexa Top 100, utilizando los «memorygrams» para entrenar un profundo modelo de red neuronal para identificar un conjunto específico de sitios web visitados por un objetivo.

Si bien los ataques de ocupación de caché basados ​​en JavaScript ofrecen una mayor precisión de más del 90 % en todas las plataformas en comparación con CSS Prime + Probe, el estudio señaló que la precisión lograda por este último es lo suficientemente alta como para filtrar datos que podrían permitir a las partes maliciosas identificar y rastrear usuarios

«Entonces, ¿cómo pueden los usuarios conscientes de la seguridad acceder a la web?», concluyeron los investigadores. «Un factor que complica este concepto es el hecho de que el navegador web utiliza recursos compartidos adicionales más allá de la memoria caché, como el sistema de resolución de DNS del sistema operativo, la GPU y la interfaz de red. La partición de la memoria caché parece un enfoque prometedor, ya sea usando espacio aislamiento basado en la coloración de caché, o por aislamiento temporal basado en el sistema operativo «.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática