Investigadores del Instituto de Tecnología de Nueva Jersey Los detalles se dieron a conocer la semana pasada. Un nuevo ataque dirigido que puede revelar la identidad de un visitante del sitio web supuestamente anónimo. Esto permite que un mal actor que tiene el control de un sitio web determine si las personas específicas lo ven. Lo hace mediante el uso de servicios como YouTube, Google Drive o Dropbox para permitir que los usuarios inicien sesión en segundo plano para identificar una identificación anónima como un nombre de usuario. Es un ataque difícil de defender porque no se basa en cookies, huellas dactilares del navegador o métodos comunes para rastrear a los visitantes del sitio web, que navegadores como Firefox y Safari están comenzando a bloquear.
Este ataque es un poco complicado si no entiendes cómo funciona, así que vamos a desglosarlo. Depende de los atacantes tres cosas:
- Controle un sitio web que su objetivo probablemente visite (o que sea engañado para que lo visite).
- La dirección de correo electrónico, la cuenta de Facebook, la cuenta de Twitter o algún otro perfil identificable públicamente de su objetivo.
- Un servicio como Facebook, YouTube, Google Drive o Dropbox que permite compartir documentos, archivos u otras cosas con usuarios específicos.
Los atacantes deben suponer que, como la mayoría de los usuarios de Internet, es probable que su objetivo esté conectado a la mayoría de estos servicios de recursos compartidos. Después de todo, así es como Facebook puede rastrear tantos datos sobre sus usuarios.
[Related: With site-specific ‘cookie jars,’ Firefox hopes to curb user tracking]
Una versión típica del ataque se vería así: digamos, un hacker quiere instalar algo como el software espía Pegasus en mi computadora, pero no quiere instalarlo para cada visitante del sitio web porque le preocupa que los investigadores de seguridad lo descubran. y proponer formas de mitigar la amenaza. Saben que me gusta la ciencia y la tecnología porque escribo ciencia populary conocen mi dirección de correo electrónico porque es pública. Para apuntarme a mí, podrían configurar un sitio falso de comunicados de prensa científicos (o mejor aún, chantajear o hackear un sitio legítimo) e incrustar un documento de Google en la página. El documento está configurado para ser público para todos excepto para una sola cuenta de Google bloqueada, la asociada con mi dirección de correo electrónico.
Cuando usted u otra persona visita la página, el documento se carga normalmente. Sin embargo, si visito la página (y estoy conectado a Gmail en segundo plano), el documento no se carga. Los piratas informáticos no pueden ver nada de esto, pero pueden usar Javascript para verificar el rendimiento de la memoria caché de la CPU, que puede medir el tiempo que lleva leer los datos y usarlo para estimar si el documento se está cargando para el usuario. Después de obtener el control total del sitio web y respetar al usuario objetivo, pueden lanzar un ataque de «clic cero» de día cero para instalar su software espía en mi computadora sin que me dé cuenta, y sin instalarlo accidentalmente para otra persona. Todo lo que tienen que hacer es hacerme visitar el sitio web.
Aunque este es un ataque dirigido, los investigadores también sugieren otro caso de uso potencial amplio para el ataque. Si el FBI descubre un foro utilizado por extremistas de Anonymous y es capaz de controlarlo (una táctica Lo han usado en el pasado.), pueden revelar los posibles nombres de varios usuarios basándose en una lista de cuentas de Facebook sospechosas asociadas con el grupo.
También puede afectar a diferentes tipos de dispositivos y navegadores. Los investigadores lo han utilizado en múltiples arquitecturas de CPU de escritorio y móviles (incluidos Intel, Apple y Qualcomm), sistemas operativos (incluidos Windows, macOS y Android), navegadores (incluidos Chrome, Safari, Firefox y el navegador Tor centrado en la seguridad) . y servicios populares para compartir recursos (incluidos Google, Twitter, LinkedIn, TikTok, Facebook, Instagram y Reddit). Concluyeron que «la gran mayoría de los usuarios de Internet son vulnerables».
E incluso si sabes que eres vulnerable, sigue siendo un ataque difícil de resistir. Los investigadores se comunicaron con los proveedores de navegadores afectados y los servicios compartidos, pero dijeron que no hay una «solución inmediata… que no afecte drásticamente la experiencia de navegación del usuario». Mientras tanto, han lanzado un complemento para este Cromo Y Firefox Se dice que Leakidator+ mitiga algunas formas de ataque, al eliminar los datos de identificación de terceros, como las cookies, de cualquier solicitud potencialmente vulnerable.
Mientras tanto, los usuarios pueden tomar medidas preventivas al no proporcionar inicios de sesión innecesarios para compartir servicios, no iniciar sesión en cuentas personales en otros dispositivos, como computadoras de trabajo, y usar Safari, Tor, Firefox u otros navegadores que restringen a terceros. Cookies por defecto (ya que esto hace que sea imposible bloquear ciertas formas de ataque).
Casi todos estos pasos harán que el uso de Internet sea menos placentero y más inconveniente, pero si tiene miedo de ser víctima de un ataque dirigido sofisticado (y posiblemente patrocinado por el estado), eso es lo que tendrá que sacrificar. Este es el tipo de truco diseñado para lidiar con el nuevo modo de bloqueo de Apple.
