Este código JavaScript podría espiar en las pestañas del navegador para saber qué sitios visita el usuario

Share this…

Incluso el navegador Tor puede ser monitoreado con este código malicioso

Especialistas en forense digital y seguridad informática informan sobre una nueva técnica de ataque de canal lateral que pasa por alto las defensas de privacidad de cualquier navegador, incluso el navegador Tor esté sujeto a este ataque. Como resultado, es posible que el JavaScript malicioso en una pestaña de su navegador web espíe otras pestañas abiertas para determinar qué sitios web está visitando el usuario.

Acorde a los expertos en forense digital, esta información podría ser utilizada para realizar campañas de publicidad especialmente dirigida al usuario, además de recopilar información relevante del usuario para delimitar un perfil del usuario, almacenar la información y utilizarla para futuras referencias.

Los investigadores Anatoly Shusterman, Lachlan Kang, Yarden Haskal, Yosef Meltser, Prateek Mittal, Yossi Oren, Yuval Yarom han ideado un ataque de fingerprinting de sitio web basado en caché del procesador que utiliza JavaScript para recopilar datos e identificar sitios web visitados.

“Hemos demostrado un ataque que podría comprometer los ‘secretos del usuario’, capaz de descubrir qué sitios web visita; esto puede revelar información altamente confidencial, como orientación sexual del usuario, creencias religiosas, opiniones políticas, condiciones de salud, etc.”, mencionan los expertos en forense digital Yossi Oren (de la Universidad Ben –Gurion, en Israel) y Yuval Yarom (Universidad de Adelaide, Australia) en un aviso de seguridad recientemente publicado.

Puede que este vector de ataque no sea tan serio como una técnica de ataque remoto, como la ejecución de código arbitrario, pero los investigadores especulan que puede haber formas en que esta técnica pueda ser adaptada para comprometer secretos informáticos como claves de cifrado o software vulnerable. Los usuarios del navegador Tor, por ejemplo, podrían enfrentar serias consecuencias si son víctimas de este ataque pensando que sus búsquedas se mantienen secretas.

Un ataque de canal lateral (o de ejecución transitoria) implica observar una parte de un sistema informático para recopilar indicadores que pueden utilizarse para inferir información privilegiada. Las vulnerabilidades Spectre, Meltdown y Foreshadow – reveladas este año –  podrían ser explotadas a través de este tipo de técnicas.

Los especialistas comentaron que este ataque funciona a un nivel más fundamental que Spectre. “Funciona en lugares donde Spectre no puede funcionar (por ejemplo, a través de límites de procesos), y los parches creados para proteger contra Spectre no pueden detenerlo”, dijeron.

Uno de los métodos utilizados para mitigar estos ataques es limitando el acceso a los temporizadores de alta precisión, mediante los cuales se pueden recopilar datos de canales laterales. Por ejemplo, cuando las vulnerabilidades Spectre y Meltdown fueron descubiertas, Mozilla informó que deshabilitaría o reduciría la precisión de las fuentes de tiempo en Firefox, el navegador de la empresa.

Pero esta nueva técnica de detección de huellas digitales del navegador no necesita un temporizador de alta precisión porque se centra en la ocupación de la memoria caché del procesador, reportan especialistas en forense digital.

“La ocupación de la memoria caché mide el porcentaje ocupado del total de la memoria caché durante un período de tiempo determinado”, explicaron los investigadores. “El navegador utiliza mucha memoria, ya que recibe grandes cantidades de datos mientras muestra varias salidas en la pantalla. Esto significa que utiliza una parte significativa de la memoria caché cuando carga una página”.

Además, este enfoque no depende del diseño de la memoria caché, lo que hace que la distribución aleatoria de caché (una técnica de mitigación de riesgos) sea inútil contra este ataque. El ataque tampoco se ve afectado por las defensas contra el fingerprinting basado en la red, como cuando un navegador obtiene datos de su caché de respuesta en lugar de la red o cuando se emplea la configuración del tráfico de red.

Este ataque implica el uso de JavaScript para medir la latencia del acceso a la memoria caché del procesador a medida que se cargan los sitios web. Estos registros después se comparan mediante técnicas de aprendizaje profundo con el objetivo de identificar similitudes automáticamente para establecer una visita al sitio web. En otras palabras, es posible determinar qué sitio web está viendo alguien por la forma en que su navegador accede a la memoria caché del CPU mientras busca y presenta las páginas web en pantalla. Un JavaScript malicioso en una pestaña puede monitorear los accesos al caché para identificar patrones y tomar registros de los sitios visitados por otras pestañas.

Al probar el ataque en navegadores convencionales, los investigadores pudieron clasificar con precisión entre el 70 y el 90% de las visitas a sitios web, mientras que en Tor, el ataque logró una precisión de solo el 47%, pero cuando se consideraron otros datos, la precisión aumentó al 72%.