Privacy: un inquietante modo per spiare le persone online

Alcuni ricercatori del New Jersey hanno trovato un metodo per risalire all’identità degli utenti, senza che il bersaglio si accorga di nulla.

 

Che si tratti di inserzionisti, operatori di marketing, criminali informatici o produttori di spyware sostenuti dai governi, sono in molti a voler identificare e tracciare gli utenti sul web.

Nonostante esista già una quantità impressionante di infrastrutture in grado di ottenere questo risultato, il desiderio di mettere le mani su dati e nuovi strumenti per raccoglierli si è dimostrato inarrestabile. In questo contesto, recentemente alcuni ricercatori del New Jersey Institute of Technology (Njit) hanno segnalato una tecnica innovativa che potrebbe essere utilizzata dagli aggressori per risalire all’identità dei visitatori dei siti web e potenzialmente ottenere molte informazioni legate alla vita digitale dei loro obiettivi.

Le scoperte, che i ricercatori dell’Njit presenteranno in occasione dello Usenix Security Symposium di Boston il mese prossimo, mostrano come – inducendo una persona a caricare un sito web dannoso – un aggressore sia in grado di determinare se l’utente in questione gestisce per esempio un indirizzo e-mail o un account sui social media, associandolo così a dati potenzialmente personali.

 

La scoperta dei ricercatori

Quando visitate un sito web, la pagina che state visualizzando può registrare il vostro indirizzo ip, ma non è detto che fornisca al proprietario del sito informazioni sufficienti per identificarvi.

La tecnica individuata dai ricercatori, invece, analizza alcune caratteristiche meno evidenti legate all’attività del potenziale bersaglio all’interno di un browser per determinare se è collegato a un account di servizi come YouTube, Dropbox, Twitter, Facebook, TikTok e altri ancora.

La violazione sarebbe eseguibile su tutti i principali browser, compreso Tor, noto per la protezione dell’anonimato.

“Se siete un utente medio di internet, è possibile che non pensiate troppo alla vostraprivacyquando visitate un sito web – spiega Reza Curtmola, uno degli autori dello studio e professore di informatica presso il Njit –.

Ma ci sono alcune categorie di utenti di internet che potrebbero subire ripercussioni più serie, come le persone che organizzano e partecipano a proteste politiche, i giornalisti e le persone che si collegano in rete con altri membri della minoranza di cui fanno parte. L’aspetto che rende pericolosi questi tipi di attacchi è che sono molto furtivi. È sufficiente visitare il sito web e non ci si accorge di essere stati esposti”.

Il rischio che i criminali informatici sostenuti dai governi e i trafficanti di armi cibernetiche tentino di risalire all’identità degli utenti del web eliminando il loro anonimato non è solo teorico.
I ricercatori hanno documentato una serie di tecniche utilizzate in ambienti reali e hanno assistito a situazioni in cui gli aggressori sono riusciti a identificare singoli utenti, anche se non è chiaro in che modo.
In passato sono state condotte altre analisi teoriche che hanno esaminato attacchi analoghi a quello sviluppato dai ricercatori del Njit, ma gran parte di queste indagini si è concentrata sulle fughe di dati tra siti web in occasione delle richieste scambiate tra servizi diversi.
In risposta ai risultati di questi lavori, browser e sviluppatori di siti hanno migliorato il modo in cui i dati vengono isolati e limitati durante il caricamento dei contenuti, rendendo questi potenziali percorsi di attacco meno praticabili.
Conoscendo la determinazione degli aggressori nel cercare nuove tecniche per identificare gli utenti, i ricercatori hanno voluto esplorare altri approcci.

“Supponiamo di avere un forum dedicato a estremisti o attivisti clandestini, che le forze dell’ordine ne abbiano preso segretamente il controllo – spiega Curtmola – e vogliano identificare gli utenti di questo forum, ma che non possano farlo direttamente perché gli utenti usano pseudonimi. Ma immaginiamo che le forze delle ordine siano anche riuscite a raccogliere un elenco di account Facebook che sospettano appartengano agli utenti del forum. In questo caso sarebbero in grado di associare chi visita il forum con i profili Facebook specifichi”.

Come funziona l’attacco

Anche se spiegarne il funzionamento è difficile, questo tipo attacco è relativamente facile da capire una volta fissati gli elementi fondamentali.

Chi esegue l’attacco ha bisogno di alcune cose per iniziare: un sito web che controlla, un elenco di account legati a persone che vuole identificare come visitatori di quel sito e dei contenuti pubblicati sulle piattaforme dagli account nel suo elenco di bersagli; questi contenuti consentono o bloccano la visualizzazione da parte dei bersagli (l’attacco funziona in entrambi i casi).

Successivamente, l’aggressore embedda il contenuto nel sito web che controlla, e aspetta di vedere chi clicca.

Se una persona che fa parte dell’elenco degli obiettivi visita il sito, gli aggressori riusciranno a risalire alla sua identità analizzando quali utenti possono (o non possono) visualizzare il contenuto incorporato.

L’attacco sfrutta una serie di fattori a cui la maggior parte delle persone non presta attenzione: molti dei principali servizi, da YouTube a Dropbox, consentono agli utenti di ospitare contenuti multimediali e di incorporarli in un altro sito.

È facile che le persone prese di mira dagli aggressori abbiano un account su questi servizi molto popolari, a cui, cosa fondamentale, spesso rimangono connessi sui loro telefoni o computer.

Questi servizi, infine, consentono agli utenti di limitare l’accesso ai contenuti che vengono caricati.

Per esempio, è possibile impostare il proprio account Dropbox in modo da condividere privatamente un video con uno o pochi utenti, oppure si può caricare un video su Facebook bloccandone la visualizzazione a determinati account.

Le funzioni per “bloccare” o “consentire” la visualizzazione dei contenuti rappresentano lo snodo cruciale che ha permesso ai ricercatori di capire come risalire alle identità degli utenti.

Nella versione dell’attacco in cui i bersagli visualizzano i contenuti, per esempio, i criminali informatici potrebbero condividere con un indirizzo Gmail di potenziale bersaglio una foto su Google Drive, embeddando poi la foto nella pagina web dannosa e attirandovi l’obiettivo. Quando i browser dei visitatori tentano di caricare la foto tramite Google Drive, gli aggressori sono in grado dedurre con precisione se l’utente è autorizzato ad accedere al contenuto, e quindi se ha il controllo dell’indirizzo e-mail in questione.

Condividi