Чувањето на анонимноста онлајн не е едноставно. Компании кои сакаат да ни прикажат порелевантни реклами, шпионски софтвер, хакери, се само дел од учесниците во потрагата по нашите податоци онлајн. Универзитетот во Њу Џерси неодамна претстави нов метод со кој може да го открие идентитетот на корисникот, пишува Wired.
Потенцијалниот напад кој го претставија истражувачите во целост ја отстранува анонимноста, дури и за корисници кои користат Tor-прелистувач. Секако и корисниците на Chrome, Safari и Firefox се потенцијална цел.
Техниката ја користи sharing/blocking функционалноста на повеќе различни сервиси. YouTube, Google Drive, Dropbox, Twitter се само дел од сервисите кои може да бидат искористени. Основна претпоставка при „нападот“ е дека лицето од интерес е логирано на некој од сервисите.
„Нападите го експлоатираат CPU cache side каналот на уредот кој се анализира, може да ги заобиколат и механизмите за изолација и различните механизми за одбрана кои ги користат прелистувачите и платформите за споделување“, велат авторите на истражувањето.
Истражувачите успеаја да ги деанонимизират корисниците на страници како Google, Twitter, LinkedIn, TikTok, Instagram, Reddit и Facebook.
Имам ли причина за загриженост…
Техниката е креирана за таргетирано де-анонимизирање на корисниците. Просечните корисници веројатно нема да бидат жртва на овој напад. Активистите, дисидентите, криминалците, екстремистите, се поверојатни лица од интерес за нападот. Секако напаѓачи можат да се обидат да изнудат финансиски средства од жртвите ако дознаат за содржина или купени продукти кои би ја засрамиле жртвата.
Како пример истражувачите споделија две ситуации на интересни жртви и потенцијални напади
Прв случај: Агент поддржан од држава поседува 0-day пропуст кој сака да го искористи и да го инсталира на компјутер на новинар за кој поседува „Twitter handle“. Напаѓачот принудил популарна веб-страница да додаде код кој ќе го инсталира овој пропуст. Ако пропустот се инсталира на многу телефони постои опасност дека ќе биде откриен од безбедносни експерти. Поради ова напаѓачот најпрво сака преку познатиот „Twitter handle“ да потврди дека корисникот кој се конектира на страницата е новинарот на чиј уред треба да се инсталира пропустот.Втор случај: Владина агенција за спроведување на законот тајно се здобила со контрола на екстремистички форум. Агенцијата сака да ги идентификува корисниците на форумот, но тие користат псевдоними на форумот. Агенцијата сепак има и листа од Facebook профили за кои се сомнева дека се од корисниците на форумот. Агенцијата сака да се обиде да ги спореди податоците од листата со псевдонимите на корисниците на форумот…
Што е потребно за нападот
За нападот е потребна веб-страница која е под контрола на напаѓачот, листа на корисници кои сакаат да ги идентификуваат, и специфична содржина до која корисниците на овие листи имаат или немаат пристап. Оваа содржина може да биде некој Dropbox фолдер, Facebook-содржина споделена за одреден круг на луѓе, слика на Google Drive и слично.
Напаѓачот ја вметнува оваа содржина на страницата и чека да види кои корисници имаат или немаат пристап до содржината. Нападот се темели на фактот дека како корисници речиси никогаш не се одјавуваме од сервисите како Dropbox или од друштвените мрежи.
Напаѓачот нема информација за тоа дали некоја содржина е отворена или не во прелистувачот на корисникот. Постоечките мерки за заштита на приватноста не го дозволуваат ова. Ако ова беше единствениот достапен податок ќе бевме безбедни. Сепак напаѓачот има пристап до податоците за однесувањето на процесорот во моментите кога се испраќа барањето. Овие сигнали од работата на процесорот и неговиот пристап до меморијата се анализираат со помош на вештачка интелигенција, и се различни кога корисникот има или нема пристап до одредена содржина. Благодарение на ова напаѓачот може да детектира дали жртвата и пристапува на страницата…
За детектирање на некој корисник се потребни неколку секунди, а жртвата нема да може да препознае дека е цел на напад.
Може ли жртвата да препознае дека е цел на напад?
Отворањето на различни ресурси онлајн се случува често, и тешко е да се препознае како напад. Напаѓачот за некои комбинации на сервисите и прелистувачите можеби ќе треба да ги скрие прозорците да се отвораат во позадина, за да го направи нападот потежок за забележување. Што се однесува до мерењето на CPU cache овој чекор е практично невидлив за корисниците.
Засега не постои начин за лесно надминување на проблемите. Истражувачите веќе објавија Leakuidator+ екстензија за Chrome и Firefox која го спречува нападот. За жал екстензијата може да влијае на перформансите.