Incluso el navegador Tor puede ser monitoreado con este código malicioso.
Especialistas en forense digital y
seguridad informática informan sobre una nueva técnica de ataque de
canal lateral que pasa por alto las defensas de privacidad de cualquier
navegador, incluso el navegador Tor esté sujeto a este ataque. Como
resultado, es posible que el JavaScript malicioso en una pestaña de su
navegador web espíe otras pestañas abiertas para determinar qué sitios
web está visitando el usuario.
Acorde a los expertos en forense digital,
esta información podría ser utilizada para realizar campañas de
publicidad especialmente dirigida al usuario, además de recopilar
información relevante del usuario para delimitar un perfil del mismo,
almacenar la información y utilizarla para futuras referencias.
Los investigadores Anatoly Shusterman,
Lachlan Kang, Yarden Haskal, Yosef Meltser, Prateek Mittal, Yossi Oren,
Yuval Yarom han ideado un ataque de fingerprinting de sitio web basado
en caché del procesador que utiliza JavaScript para recopilar datos e
identificar sitios web visitados.
“Hemos demostrado un ataque que podría
comprometer los ‘secretos del usuario’, capaz de descubrir qué sitios
web visita; esto puede revelar información altamente confidencial, como
orientación sexual del usuario, creencias religiosas, opiniones
políticas, condiciones de salud, etc.”, mencionan los expertos en
forense digital Yossi Oren (de la Universidad Ben –Gurion, en Israel) y
Yuval Yarom (Universidad de Adelaide, Australia) en un aviso de
seguridad recientemente publicado.
Puede que este vector de ataque no sea
tan serio como una técnica de ataque remoto, como la ejecución de código
arbitrario, pero los investigadores especulan que puede haber formas en
que esta técnica pueda ser adaptada para comprometer secretos
informáticos como claves de cifrado o software vulnerable. Los usuarios
del navegador Tor, por ejemplo, podrían enfrentar serias consecuencias
si son víctimas de este ataque pensando que sus búsquedas se mantienen
secretas.
Un ataque de canal lateral (o de
ejecución transitoria) implica observar una parte de un sistema
informático para recopilar indicadores que pueden utilizarse para
inferir información privilegiada.
Las vulnerabilidades Spectre, Meltdown y Foreshadow – reveladas este año – podrían ser explotadas a través de este tipo de técnicas.
Los especialistas comentaron que este
ataque funciona a un nivel más fundamental que Spectre. “Funciona en
lugares donde Spectre no puede funcionar (por ejemplo, a través de
límites de procesos), y los parches creados para proteger contra Spectre
no pueden detenerlo”, dijeron.
Uno de los métodos utilizados para
mitigar estos ataques es limitando el acceso a los temporizadores de
alta precisión, mediante los cuales se pueden recopilar datos de canales
laterales. Por ejemplo, cuando las vulnerabilidades Spectre y Meltdown
fueron descubiertas, Mozilla informó que deshabilitaría o reduciría la
precisión de las fuentes de tiempo en Firefox, el navegador de la
empresa.
Pero esta nueva técnica de detección de
huellas digitales del navegador no necesita un temporizador de alta
precisión porque se centra en la ocupación de la memoria caché del
procesador, reportan especialistas en forense digital.
“La ocupación de la memoria caché mide el
porcentaje ocupado del total de la memoria caché durante un período de
tiempo determinado”, explicaron los investigadores. “El navegador
utiliza mucha memoria, ya que recibe grandes cantidades de datos
mientras muestra varias salidas en la pantalla. Esto significa que
utiliza una parte significativa de la memoria caché cuando carga una
página”.
Además, este enfoque no depende del
diseño de la memoria caché, lo que hace que la distribución aleatoria de
caché (una técnica de mitigación de riesgos) sea inútil contra este
ataque. El ataque tampoco se ve afectado por las defensas contra el
fingerprinting basado en la red, como cuando un navegador obtiene datos
de su caché de respuesta en lugar de la red o cuando se emplea la
configuración del tráfico de red.
Este ataque implica el uso de JavaScript
para medir la latencia del acceso a la memoria caché del procesador a
medida que se cargan los sitios web. Estos registros después se comparan
mediante técnicas de aprendizaje profundo con el objetivo de
identificar similitudes automáticamente para establecer una visita al
sitio web. En otras palabras, es posible determinar qué sitio web está
viendo alguien por la forma en que su navegador accede a la memoria
caché del CPU mientras busca y presenta las páginas web en pantalla. Un
JavaScript malicioso en una pestaña puede monitorear los accesos al
caché para identificar patrones y tomar registros de los sitios
visitados por otras pestañas.
Al probar el ataque en navegadores
convencionales, los investigadores pudieron clasificar con precisión
entre el 70 y el 90% de las visitas a sitios web, mientras que en Tor,
el ataque logró una precisión de solo el 47%, pero cuando se
consideraron otros datos, la precisión aumentó al 72%.