Nuevo ataque a navegadores permite rastrear usuarios en línea con JavaScript deshabilitado

Investigadores han descubierto un nuevo canal lateral que, según dicen, se puede explotar de manera confiable para filtrar información de los navegadores web que luego podría aprovecharse para rastrear a los usuarios incluso cuando JavaScript está completamente deshabilitado.

«Este es un ataque de canal lateral que no requiere JavaScript para ejecutarse», dijeron los investigadores. «Esto significa que los bloqueadores de secuencias de comandos no pueden detenerlo. Los ataques funcionan incluso si elimina todas las partes divertidas de la experiencia de navegación web. Esto hace que sea muy difícil de prevenir sin modificar partes profundas del sistema operativo».

Al evitar JavaScript, los ataques de canal lateral también son arquitectónicamente agnósticos, lo que resulta en ataques de huellas dactilares de sitios web de microarquitectura que funcionan en plataformas de hardware, incluidas las CPU Intel Core, AMD Ryzen, Samsung Exynos 2100 y Apple M1, lo que lo convierte en el primer canal lateral conocido. ataque a los nuevos conjuntos de chips basados ​​en ARM del fabricante del iPhone.

Los hallazgos , que provienen de un grupo de académicos de la Universidad Ben-Gurion. del Negev, la Universidad de Michigan y la Universidad de Adelaide, se presentará en el Simposio de Seguridad de USENIX en agosto.

Si bien estos canales laterales con fugas se pueden tapar de manera efectiva mediante técnicas de aislamiento de dominio, los proveedores de navegadores han incorporado defensas para ofrecer protección contra ataques de tiempo y huellas dactilares al reducir la precisión de las funciones de medición del tiempo, además de agregar soporte para deshabilitar completamente JavaScript mediante complementos. como NoScript.

Sin embargo, la última investigación publicada esta semana tiene como objetivo evitar tales mitigaciones basadas en el navegador mediante la implementación de un ataque de canal lateral llamado «CSS Prime + Probe» construido únicamente con HTML y CSS, lo que permite que el ataque funcione incluso en navegadores reforzados como Tor, Chrome. Zero y DeterFox que tienen JavaScript completamente deshabilitado o limitan la resolución de la API del temporizador.

«Una tendencia común en estos enfoques es que son sintomáticos y no abordan la causa raíz de la fuga, es decir, el intercambio de recursos de microarquitectura», señalaron los investigadores. «En cambio, la mayoría de los enfoques intentan evitar las fugas modificando el comportamiento del navegador, logrando diferentes equilibrios entre seguridad y usabilidad».