Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Hacker có thể lạm dụng HSTS (HTTP Strict Transport Security) như là một ‘supercookie’ để lén lút theo dõi người dùng khi họ sử dụng các trình duyệt web hiện đại trực tuyến mà không nhận thức được việc bị theo dõi và ngay cả khi sử dụng các “trình duyệt riêng tư”.
Apple chặn các site khỏi việc lạm dụng HSTS để theo dõi người dùng
Apple chặn các site khỏi việc lạm dụng HSTS để theo dõi người dùng
WebKit là một trình duyệt mã nguồn mở của Apple, dùng để hỗ trợ trình duyệt web Safari ngăn chặn sự lạm dụng HSTS. Gần đây Apple đã bổ sung sung các biện pháp giảm bớt đối với cơ sở hạ tầng của WebKit kể từ sau khi phát hiện ra các cuộc tấn công lý thuyết được chứng minh vào năm 2015, gần đây đã được triển khai chống lại người dùng Safari. HSTS-HTTP Strict Transport Security là một tính năng tuyệt vời cho phép các website tự động chuyển hướng lưu lượng truy cập web của người dùng để đảm bảo kết nối trang qua HTTPS nếu người dùng vô tình mở một URL không an toàn và sau đó nhớ để luôn định tuyến cho người dùng đến kết nối an toàn. Vì HSTS không cho phép các trang web lưu trữ bất kỳ thông tin hoặc giá trị nào trên trình duyệt web của người dùng, ngoại trừ việc nhớ thông tin chuyển hướng về việc bật/tắt để sử dụng trong tương lai. Nếu ai đó hứng thú với việc theo dõi người dùng web thì họ có thể sử dụng thông tin này để tạo ra một supercookie – được đọc bởi các máy chủ theo dõi chéo trang để đánh dấu người dùng trên các trang web. Dưới đây là cách thức HSTS theo dõi hoạt động: Để hiểu cách thức hoạt động của HSTS supercookie theo dõi, thì dưới đây là một ví dụ đơn giản:
  • Để theo dõi từng người dùng, các website chỉ định một số ngẫu nhiên duy nhất cho mỗi khách truy cập, ví dụ 909090, trong đó 32 ký tự chuyển đổi nhị phân cho 909090 là 00000000000011011101111100100010.
  • Để đặt số nhị phân này cho một người dùng cụ thể, website đặt chính sách HSTS cho 32 tên miền phụ (tr01.example.com, tr02.example.com …… và tr32.example.com), nếu đó là HSTS một tên miền phụ được kích hoạt thì giá trị là 1 và nếu không thì giá trị là 0.
  • Bây giờ mỗi khi người dùng truy cập vào cùng một website, nó sẽ tự động mở các điểm ảnh vô hình từ 32 tên miền phụ của nó trong background – đại diện cho các bit trong số nhị phân, báo hiệu máy chủ mà tên miền phụ được mở qua HTTPS (1) và HTTP (0).
  • Kết hợp các giá trị trên cho thấy giá trị nhị phân duy nhất của người dùng đến máy chủ, giúp các trang web/nhà quảng cáo đánh dấu người dùng trên các trang web.
Tuy nhiên, Apple đã bổ sung thêm hai biện pháp giảm nhẹ cho công cụ WebKit của Safari nhằm giải quyết cả hai phía cuộc tấn công: nơi mà các mã nhận dạng theo dõi được tạo ra và việc sử dụng các điểm ảnh vô hình để theo dõi người dùng. Để tránh bất cứ ai lạm dụng HSTS để theo dõi người dùng safari thì biện pháp giảm nhẹ đầu tiên mà Apple hướng đến là giải quyết vấn đề nằm trong super cookie-setting – nơi mà kẻ tấn công sử dụng URL dài, mã hoá các chữ số trong các tên miền phụ của tên miền chính và thực hiện thiết lập HSTS trên một phạm vi rộng các tên miền phụ cùng một lúc. Safari sẽ giới hạn trạng thái HSTS đối với loaded Hostname hoặc Top Level Domain plus one (TLD + 1) và “WebKit cũng giới hạn số lượng chuyển hướng có thể được nối liền với nhau, dẫn đến việc tạo ra một giới hạn về số lượng bit có thể được thiết lập, ngay cả khi độ trễ được đánh giá là chấp nhận được.” Brent Fulgham, một nhà phát triển làm việc cho công cụ Safari WebKit, cho biết: “Điều này ngăn cản các kẻ theo dõi có thể thiết lập HSTS một cách hiệu quả qua nhiều bit khác nhau; thay vào đó, họ phải truy cập từng miền đại diện cho một bit hoạt động trong mã nhận dạng theo dõi.” “Trong khi các nhà cung cấp nội dung và các nhà quảng cáo có thể đánh giá độ trễ xuất hiện bởi một chuyển hướng đơn qua nguồn gốc để thiết lập nhiều bit là không dễ bị nhận thấy đối với người dùng, thì yêu cầu chuyển hướng đến 32 hoặc nhiều tên miền để thiết lập các bit của định danh thì người dùng sẽ dễ dàng nhận thấy. Do vậy, điều đó không thể chấp nhận đối với họ và các nhà cung cấp nội dung.” Trong biện pháp giảm nhẹ thứ hai, Safari bỏ qua trạng thái HSTS đối với yêu cầu Subresource tới các Domains bị chặn – nơi WebKit chặn những thứ như các điểm ảnh vô hình dùng để theo dõi, từ việc buộc phải chuyển hướng HSTS, khiến cho các siêu supercookies của HSTS trở thành chuỗi bit chỉ bằng 0. Tuy nhiên, Apple không gọi tên bất kỳ cá nhân, tổ chức, hoặc bất kỳ công ty quảng cáo nào đang lạm dụng HSTS supercookie theo dõi để nhắm mục tiêu đến người dùng Safari.

7 BÌNH LUẬN

Comments are closed.