La toma de huellas digitales del navegador está comenzando a ser ampliamente adoptada
Los atacantes podrían abusar de una "amenaza potencialmente devastadora y difícil de detectar" para recopilar información de huellas digitales del navegador de los usuarios con el objetivo de suplantar a las víctimas sin su conocimiento, comprometiendo así efectivamente su privacidad.
Los académicos de la Universidad Texas A&M llamaron al sistema de ataque "Navegadores gomosos (Gummy Browsers)" [PDF], comparándolo con una técnica de "Dedos gomosos (Gummy Fingers)" de hace casi 20 años que puede suplantar la biometría de huellas dactilares de un usuario.
"La idea es que el atacante 𝐴 primero haga que el usuario 𝑈 se conecte a su sitio web (o a un sitio conocido que controle el atacante) y recopile de forma transparente la información de 𝑈 que se utiliza para tomar huellas digitales (como cualquier sitio web de huellas digitales 𝑊 recopila esta información)", subrayaron los investigadores. "Luego, 𝐴 organiza un navegador en su propia máquina para replicar y transmitir la misma información de huellas digitales cuando se conecta a 𝑊, engañando a 𝑊 al pensar que 𝑈 es el que solicita el servicio en lugar de 𝐴".
La huella digital del navegador, también llamada huella digital de Internet, se refiere a una técnica de seguimiento que se utiliza para identificar de forma única a los usuarios de Internet mediante la recopilación de atributos sobre el software y el hardware de un sistema informático remoto - como la elección del navegador, la zona horaria, el idioma predeterminado, la resolución de pantalla, los complementos, las fuentes instaladas e incluso las preferencias - así como las características de comportamiento que surgen al interactuar con el navegador web del dispositivo.
Por lo tanto, en el caso de que el sitio web rellene anuncios dirigidos basados solo en las huellas digitales del navegador de los usuarios, podría dar lugar a un escenario en el que el adversario remoto pueda perfilar cualquier objetivo de interés manipulando sus propias huellas digitales para que coincidan con las de la víctima durante prolongados períodos de tiempo, mientras tanto el usuario y el sitio web permanecen ajenos al ataque.
Dicho de otra manera, al explotar el hecho de que el servidor trata el navegador del atacante como el navegador de la víctima, el primero no solo recibiría anuncios iguales o similares a los de la víctima suplantada, también permitiría al actor malintencionado inferir información sensible sobre el usuario (por ejemplo, género, grupo de edad, estado de salud, intereses, nivel salarial, etc.) y construir un perfil de comportamiento personal.
En pruebas experimentales, los investigadores encontraron que el sistema de ataque logró tasas promedio de falsos positivos superiores a 0,95, lo que indica que la mayoría de las huellas digitales falsificadas se reconocieron erróneamente como legítimas, engañando así con éxito los algoritmos de huellas digitales. Una consecuencia de tal ataque es una violación de la privacidad de los anuncios y eludir los mecanismos defensivos implementados para autenticar a los usuarios y detectar fraudes.
"El impacto de los navegadores gomosos puede ser devastador y duradero en la seguridad en línea y la privacidad de los usuarios, especialmente dado que la toma de huellas digitales del navegador está comenzando a ser ampliamente adoptada en el mundo real", concluyeron los investigadores. "A la luz de este ataque, nuestro trabajo plantea la cuestión de si es seguro implementar las huellas digitales del navegador a gran escala".
