In passato sono state condotte altre analisi teoriche che hanno esaminato attacchi analoghi a quello sviluppato dai ricercatori del Njit, ma gran parte di queste indagini si è concentrata sulle fughe di dati tra siti web in occasione delle richieste scambiate tra servizi diversi. In risposta ai risultati di questi lavori, browser e sviluppatori di siti hanno migliorato il modo in cui i dati vengono isolati e limitati durante il caricamento dei contenuti, rendendo questi potenziali percorsi di attacco meno praticabili. Conoscendo la determinazione degli aggressori nel cercare nuove tecniche per identificare gli utenti, i ricercatori hanno voluto esplorare altri approcci.
“Supponiamo di avere un forum dedicato a estremisti o attivisti clandestini, che le forze dell’ordine ne abbiano preso segretamente il controllo – spiega Curtmola – e vogliano identificare gli utenti di questo forum, ma che non possano farlo direttamente perché gli utenti usano pseudonimi. Ma immaginiamo che le forze delle ordine siano anche riuscite a raccogliere un elenco di account Facebook che sospettano appartengano agli utenti del forum. In questo caso sarebbero in grado di associare chi visita il forum con i profili Facebook specifichi“.
Come funziona l’attacco
Anche se spiegarne il funzionamento è difficile, questo tipo attacco è relativamente facile da capire una volta fissati gli elementi fondamentali. Chi esegue l’attacco ha bisogno di alcune cose per iniziare: un sito web che controlla, un elenco di account legati a persone che vuole identificare come visitatori di quel sito e dei contenuti pubblicati sulle piattaforme dagli account nel suo elenco di bersagli; questi contenuti consentono o bloccano la visualizzazione da parte dei bersagli (l’attacco funziona in entrambi i casi).
Successivamente, l’aggressore embedda il contenuto nel sito web che controlla, e aspetta di vedere chi clicca. Se una persona che fa parte dell’elenco degli obiettivi visita il sito, gli aggressori riusciranno a risalire alla sua identità analizzando quali utenti possono (o non possono) visualizzare il contenuto incorporato.
L’attacco sfrutta una serie di fattori a cui la maggior parte delle persone non presta attenzione: molti dei principali servizi, da YouTube a Dropbox, consentono agli utenti di ospitare contenuti multimediali e di incorporarli in un altro sito. È facile che le persone prese di mira dagli aggressori abbiano un account su questi servizi molto popolari, a cui, cosa fondamentale, spesso rimangono connessi sui loro telefoni o computer. Questi servizi, infine, consentono agli utenti di limitare l’accesso ai contenuti che vengono caricati. Per esempio, è possibile impostare il proprio account Dropbox in modo da condividere privatamente un video con uno o pochi utenti, oppure si può caricare un video su Facebook bloccandone la visualizzazione a determinati account.
Le funzioni per “bloccare” o “consentire” la visualizzazione dei contenuti rappresentano lo snodo importante che ha permesso ai ricercatori di capire come risalire alle identità degli utenti. Nella versione dell’attacco in cui i bersagli visualizzano i contenuti, per esempio, i criminali informatici potrebbero condividere con un indirizzo Gmail di potenziale bersaglio una foto su Google Drive, embeddando poi la foto nella pagina web dannosa e attirandovi l’obiettivo. Quando i browser dei visitatori tentano di caricare la foto tramite Google Drive, gli aggressori sono in grado dedurre con precisione se l’utente è autorizzato ad accedere al contenuto, e quindi se ha il controllo dell’indirizzo e-mail in questione.
Leggi tutto su www.wired.it
di Lily Hay Newman www.wired.it 2022-07-17 05:00:00 ,
