WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Siêu cookie có thể theo dõi người duyệt web ở chế độ riêng tư
Trong nhiều năm qua, Chrome, Firefox và hầu hết trình duyệt đã cung cấp một chế độ truy cập không lưu hay sử dụng đến cookie của các website, lịch sử duyệt web hay các tập tin tạm.
Những người dùng cẩn trọng dùng tính năng duyệt web riêng tư này để giấu danh tính cá nhân và ngăn các website theo dõi hoạt động của mình. Tuy nhiên, chuyên gia tư vấn công nghệ Sam Greenhalgh vừa tìm ra một cách đơn giản để "qua mặt" chế độ duyệt web riêng tư đó.
Điều oái oăm là thủ thuật theo dõi "quá trình duyệt web bí mật của người dùng" lại lên quan đến một cơ chế bảo mật mới và rất cần thiết, có tên là HTTP Strict Transport Security (viết tắt thành HSTS). Các website dùng cơ chế đó để đảm bảo rằng người dùng chỉ giao tiếp với máy chủ thông qua kết nối HTTPS an toàn. Bằng cách thêm một cờ vào phần header mà một trình duyệt web nhận được khi gửi yêu cầu tới máy chủ, HSTS đảm bảo rằng tất cả kết nối sau đó tới một website được mã hóa bằng giao thức HTTPS. Nhờ việc yêu cầu tất cả kết nối kế tiếp được mã hóa, HSTS bảo vệ người dùng khỏi các thủ đoạn chuyển kết nối về dạng HTTP trần.
Sam Greenhalgh, người vận hành RadicalResearch, đã tìm ra cách để biến tính năng bảo mật đó thành một công cụ xâm phạm quyền riêng tư.
Cách làm của ông được đặt tên là HSTS Super Cookie. Giống như các cookie thông thường, chúng cho phép ông xác định những người truy cập một trang web ở chế độ không bí mật và khi họ quay lại trang web đó, ông có thể biết họ đã vào những trang web nào khác. Các cookie của ông có hai siêu năng lực so với các cookie thông thường. Thứ nhất, một khi đã được thiết lập, với một số trình duyệt trên một số hệ điều hành nhất định, các cookie sẽ vẫn nhìn thấy được ngay cả khi người dùng đã chuyển sang chế độ lướt web ẩn danh. Thứ hai, các cookie có thể được đọc bởi các website khác nhau chứ không chỉ riêng trang web đã thiết lập chúng.
Phiên bản Firefox 34.0.5 mới nhất không còn cho phép HSTS Super Cookie thiết lập ở chế độ thông thường được duy trì ở chế độ truy cập riêng tư.
Chuyên gia Greenhalgh nói rằng điều này mới được “sửa chữa” và các màn hình cho thấy cách làm của ông thực hiện được với Firefox phiên bản 33, ít nhất là khi chạy trên Windows. Firefox 34.0.5 tiếp tục cho phép nhiều website truy cập siêu cookie. Chrome trên Windows, cũng như Chrome và Safari chạy trên một chiếc iPad do trang tin công nghệ Ars Technica thử nghiệm, đều vẫn còn nguyên lỗ hổng.
Internet Explorer không bị “dính” lỗi này vì các phiên bản gần đây của trình duyệt này không hỗ trợ HSTS.
Với website bất kỳ, HSTS có thể dùng để lưu giữ một giá trị nhị phân duy nhất, 0 hoặc 1. Để vượt qua hạn chế này, chuyên gia Greenhalgh nối giá trị của 32 site với nhau và lưu chúng như một số nhị phân. Kết quả là khả năng đánh dấu hơn hai tỷ trình duyệt khác nhau. Để dễ theo dõi hơn, số nhị phân được chuyển thành chuỗi dạng base36. Dĩ nhiên, một website khác có thể theo dõi theo cách tương tự nhưng không tường minh bằng.
May thay, trừ những người dùng trình duyệt Safari trên iPhone hay iPad, vẫn có cách để tẩy cờ đã tạo điều kiện cho HSTS Super Cookie lợi dụng. Điều cần làm là xóa tất cả cookie trước khi chuyển sang chế độ duyệt web riêng tư.
Ông Greenhalgh không tìm thấy bằng chứng nào của việc cờ HSTS được thiết lập ở chế độ duyệt web bí mật được mang sang chế độ duyệt web thông thường. Điều này có nghĩa là những người truy cập một trang web chỉ ở chế độ riêng tư sẽ không lo bị lợi dụng.
HSTS Super Cookie là một ví dụ rõ ràng của việc các tính năng mới – kể cả những tính năng giúp nâng cao tính bảo mật – có thể biến thành lỗ hổng để kẻ xấu lợi dụng. Mục đích của HSTS là đảm bảo người dùng luôn sử dụng HTTPS khi truy cập tới trang web hỗ trợ cơ chế này. Những người phát triển trình duyệt chắc chắn mong muốn các cờ đó được chuyển từ chế độ thông thường sang chế độ duyệt web riêng tư để đảm bảo những người muốn bảo vệ sự riêng tư cũng hưởng lợi của chế độ bảo vệ này.
Với sự xuất hiện của cách theo dõi mới và đầy ma mãnh như trên, các nhà phát triển sẽ phải suy tính lại, nhưng bây giờ thì phạm vi lựa chọn của họ đã hẹp hơn rất nhiều.
Những người dùng cẩn trọng dùng tính năng duyệt web riêng tư này để giấu danh tính cá nhân và ngăn các website theo dõi hoạt động của mình. Tuy nhiên, chuyên gia tư vấn công nghệ Sam Greenhalgh vừa tìm ra một cách đơn giản để "qua mặt" chế độ duyệt web riêng tư đó.
Điều oái oăm là thủ thuật theo dõi "quá trình duyệt web bí mật của người dùng" lại lên quan đến một cơ chế bảo mật mới và rất cần thiết, có tên là HTTP Strict Transport Security (viết tắt thành HSTS). Các website dùng cơ chế đó để đảm bảo rằng người dùng chỉ giao tiếp với máy chủ thông qua kết nối HTTPS an toàn. Bằng cách thêm một cờ vào phần header mà một trình duyệt web nhận được khi gửi yêu cầu tới máy chủ, HSTS đảm bảo rằng tất cả kết nối sau đó tới một website được mã hóa bằng giao thức HTTPS. Nhờ việc yêu cầu tất cả kết nối kế tiếp được mã hóa, HSTS bảo vệ người dùng khỏi các thủ đoạn chuyển kết nối về dạng HTTP trần.
Sam Greenhalgh, người vận hành RadicalResearch, đã tìm ra cách để biến tính năng bảo mật đó thành một công cụ xâm phạm quyền riêng tư.
Cách làm của ông được đặt tên là HSTS Super Cookie. Giống như các cookie thông thường, chúng cho phép ông xác định những người truy cập một trang web ở chế độ không bí mật và khi họ quay lại trang web đó, ông có thể biết họ đã vào những trang web nào khác. Các cookie của ông có hai siêu năng lực so với các cookie thông thường. Thứ nhất, một khi đã được thiết lập, với một số trình duyệt trên một số hệ điều hành nhất định, các cookie sẽ vẫn nhìn thấy được ngay cả khi người dùng đã chuyển sang chế độ lướt web ẩn danh. Thứ hai, các cookie có thể được đọc bởi các website khác nhau chứ không chỉ riêng trang web đã thiết lập chúng.
Phiên bản Firefox 34.0.5 mới nhất không còn cho phép HSTS Super Cookie thiết lập ở chế độ thông thường được duy trì ở chế độ truy cập riêng tư.
Chuyên gia Greenhalgh nói rằng điều này mới được “sửa chữa” và các màn hình cho thấy cách làm của ông thực hiện được với Firefox phiên bản 33, ít nhất là khi chạy trên Windows. Firefox 34.0.5 tiếp tục cho phép nhiều website truy cập siêu cookie. Chrome trên Windows, cũng như Chrome và Safari chạy trên một chiếc iPad do trang tin công nghệ Ars Technica thử nghiệm, đều vẫn còn nguyên lỗ hổng.
Internet Explorer không bị “dính” lỗi này vì các phiên bản gần đây của trình duyệt này không hỗ trợ HSTS.
Với website bất kỳ, HSTS có thể dùng để lưu giữ một giá trị nhị phân duy nhất, 0 hoặc 1. Để vượt qua hạn chế này, chuyên gia Greenhalgh nối giá trị của 32 site với nhau và lưu chúng như một số nhị phân. Kết quả là khả năng đánh dấu hơn hai tỷ trình duyệt khác nhau. Để dễ theo dõi hơn, số nhị phân được chuyển thành chuỗi dạng base36. Dĩ nhiên, một website khác có thể theo dõi theo cách tương tự nhưng không tường minh bằng.
May thay, trừ những người dùng trình duyệt Safari trên iPhone hay iPad, vẫn có cách để tẩy cờ đã tạo điều kiện cho HSTS Super Cookie lợi dụng. Điều cần làm là xóa tất cả cookie trước khi chuyển sang chế độ duyệt web riêng tư.
Ông Greenhalgh không tìm thấy bằng chứng nào của việc cờ HSTS được thiết lập ở chế độ duyệt web bí mật được mang sang chế độ duyệt web thông thường. Điều này có nghĩa là những người truy cập một trang web chỉ ở chế độ riêng tư sẽ không lo bị lợi dụng.
HSTS Super Cookie là một ví dụ rõ ràng của việc các tính năng mới – kể cả những tính năng giúp nâng cao tính bảo mật – có thể biến thành lỗ hổng để kẻ xấu lợi dụng. Mục đích của HSTS là đảm bảo người dùng luôn sử dụng HTTPS khi truy cập tới trang web hỗ trợ cơ chế này. Những người phát triển trình duyệt chắc chắn mong muốn các cờ đó được chuyển từ chế độ thông thường sang chế độ duyệt web riêng tư để đảm bảo những người muốn bảo vệ sự riêng tư cũng hưởng lợi của chế độ bảo vệ này.
Với sự xuất hiện của cách theo dõi mới và đầy ma mãnh như trên, các nhà phát triển sẽ phải suy tính lại, nhưng bây giờ thì phạm vi lựa chọn của họ đã hẹp hơn rất nhiều.
Theo PC World