Alcuni ricercatori del New Jersey Institute of Technology (Njit) hanno scoperto una tecnica innovativa per risalire all’identità degli utenti, senza che il bersaglio si accorga di nulla, che potenzialmente potrebbe essere utilizzata da attori malevoli per acquisire molte informazioni legate alla vita digitale dei loro obiettivi. Le scoperte, che i ricercatori dell’Njit presenteranno durante lo Usenix Security Symposium di Boston il mese prossimo, mostrano come – inducendo una persona a caricare un sito web dannoso – un aggressore può determinare se l’utente in questione gestisce per esempio un indirizzo e-mail o un account social, associandolo così a dati potenzialmente personali.
Gli esperti spiegano che, quando visitiamo un sito web, la pagina visualizzata può registrare il nostro indirizzo IP (non è detto però che fornisca al proprietario del sito informazioni sufficienti per identificarci). La tecnica rilevata dai ricercatori, invece, analizza alcune caratteristiche meno evidenti legate all’attività del potenziale bersaglio all’interno di un browser per determinare se sia collegato a un account di servizi come YouTube, Dropbox, Twitter, Facebook, TikTok e altri ancora. La violazione sarebbe eseguibile su tutti i principali browser, incluso Tor, noto per la protezione dell’anonimato.
“Se siete un utente medio di internet, è possibile che non pensiate troppo alla vostra privacy quando visitate un sito web – siega Reza Curtmola, uno degli autori dello studio e professore di informatica presso il Njit –. Ma ci sono alcune categorie di utenti di internet che potrebbero subire ripercussioni più serie, come le persone che organizzano e partecipano a proteste politiche, i giornalisti e le persone che si collegano in rete con altri membri della minoranza di cui fanno parte. L’aspetto che rende pericolosi questi tipi di attacchi è che sono molto furtivi. È sufficiente visitare il sito web e non ci si accorge di essere stati esposti”.
Con questa tecnica, il rischio che i criminali informatici sostenuti dai governi e i trafficanti di armi cibernetiche provino a risalire all’identità degli utenti del web eliminando il loro anonimato è concreto. I ricercatori hanno documentato una serie di tecniche utilizzate in ambienti reali e hanno assistito a situazioni in cui gli aggressori sono riusciti a identificare singoli utenti, sebbene non è chiaro in che modo.
“Supponiamo di avere un forum dedicato a estremisti o attivisti clandestini, che le forze dell’ordine ne abbiano preso segretamente il controllo – spiega Curtmola – e vogliano identificare gli utenti di questo forum, ma che non possano farlo direttamente perché gli utenti usano pseudonimi. Ma immaginiamo che le forze dell’ordine siano anche riuscite a raccogliere un elenco di account Facebook che sospettano appartengano agli utenti del forum. In questo caso sarebbero in grado di associare chi visita il forum con i profili Facebook specifichi”.
Chi esegue questo tipo di attacco ha bisogno di un sito web che controlla, un elenco di account legati a persone che vuole identificare come visitatori di quel sito e dei contenuti pubblicati sulle piattaforme dagli account nel suo elenco di bersagli. Successivamente, l’aggressore embedda il contenuto nel sito web che controlla e aspetta di vedere chi clicca. Se una persona presente nell’elenco degli obiettivi visita il sito, gli aggressori riescono a risalire alla sua identità analizzando quali utenti possono (o non possono) visualizzare il contenuto incorporato.
Questo attacco sfrutta una serie di fattori a cui la maggior parte degli utenti non presta attenzione: molti dei principali servizi, da YouTube a Dropbox, consentono agli utenti di ospitare contenuti multimediali e di incorporarli in un altro sito; è facile che le persone bersaglio degli aggressori abbiano un account su questi servizi popolari a cui, cosa fondamentale, spesso rimangono connessi; questi servizi permettono agli utenti di limitare l’accesso ai contenuti che vengono caricati.
Le funzioni per “bloccare” o “consentire” la visualizzazione dei contenuti sono state lo snodo cruciale che ha consentito ai ricercatori di capire come risalire alle identità degli utenti: nella versione dell’attacco in cui i bersagli visualizzano i contenuti, per esempio, i criminali informatici potrebbero condividere con un indirizzo Gmail di un potenziale bersaglio una foto su Google Drive, embeddando poi la foto nella pagina web dannosa e attirandovi l’obiettivo. Nel momento in cui i browser dei visitatori tentano di caricare la foto tramite Google Drive, gli aggressori riescono a dedurre con precisione se l’utente è autorizzato ad accedere al contenuto, e quindi se ha il controllo dell’indirizzo e-mail in questione.
Con le misure per la tutela della privacy attualmente a disposizione delle principali piattaforme, un aggressore non è in grado di verificare direttamente se il visitatore del sito è stato in grado di caricare il contenuto. I ricercatori hanno però notato di poter analizzare le informazioni accessibili sul browser dell’obiettivo e il comportamento del suo processore durante la richiesta, per capire se la richiesta di visualizzazione del contenuto fosse stata consentita o negata.
La tecnica è nota come “attacco a canale laterale”: gli esperti hanno scoperto di poter risalire in modo accurato e affidabile all’identità di un utente addestrando algoritmi di apprendimento automatico per analizzare dati apparentemente non correlati sul modo in cui il browser e il dispositivo della vittima elaborano la richiesta. Una volta che l’attaccante sa che l’utente a cui ha permesso di visualizzare il contenuto lo ha effettivamente visto (o che l’utente a cui è stata negata la visualizzazione non è riuscito a visualizzarlo) può determinare l’identità del visitatore del sito.
I ricercatori hanno avvertito che la tecnica sarebbe semplice da mettere in pratica una volta che gli aggressori hanno svolto il lavoro di preparazione e che occorrerebbero solo un paio di secondi per smascherare potenzialmente ogni visitatore del sito dannoso, e per un utente sarebbe virtualmente impossibile rilevare la violazione.
I ricercatori hanno sviluppato un’estensione del browser in grado di contrastare questi attacchi, disponibile per Chrome e Firefox, sottolineando però che potrebbe avere un impatto sulle prestazioni e che non è disponibile per tutti i browser. Attraverso un processo di divulgazione che ha coinvolto numerosi servizi web, browser e organismi che si occupano degli standard del web, i ricercatori hanno comunicato di aver avviato una discussione più ampia su come affrontare il problema in modo esauriente. Secondo Curtmola, per affrontare il problema a livello di chip sarebbero necessarie modifiche fondamentali e probabilmente irrealizzabili al modo in cui sono progettati i processori. Il ricercatore aggiunge però che una collaborazione nel quadro del World Wide Web Consortium o di altri forum permetterebbe di mettere a punto una soluzione che affronti in modo esteso il problema.
https://www.wired.it/article/privacy-cybersicurezza-minaccia-anonimato-browser/
https://leakuidatorplusteam.github.io/preprint.pdf