viernes, 8 de enero de 2016

WebRTC Leak exploit fue encontrado en Ad Network

Eso no ha pasado hace mucho tiempo, hace unos meses atrás FlyVPN se dio cuenta de un nuevo fallo de seguridad que permitía a los sitios web encontrar IP real de un usuario al hacer peticiones STUN secretas a través de WebRTC. Ahora parece que tenemos nuestro primer caso de esta realidad que se utiliza en la naturaleza, irónicamente en nombre de "la privacidad del usuario".

Durante últimas semanas la gente comenzó a notar algo inusual al visitar sitios web arstechnica.com, washingtonpost.com, nbcnews.com, FT.com, cnbc.com, Bloomberg.com, wired.com y otros sitios web similares de Estados Unidos. Al parecer, todos estos sitios web estaban compartiendo el mismo anuncio de seguimiento de javascript desde una URL: s.tagsrvcs.com. Además, este URL parece estar algo registro de cada pocos segundos.

Además análisis de la javascript usando devtools de Chrome reveló que un RTCPeerConnection fue creado y haciendo activamente peticiones a un servidor STUN: ph.tagsrvcs.com. Si bien es difícil hacer un seguimiento de todas las acciones del código JS, los investigadores fueron capaces de determinar el código se intentó recoger la dirección IP del usuario, en varias ocasiones.

La mayoría de nosotros somos conscientes de que los sitios web y agencias de marketing online emplean diversos métodos de seguimiento de usuarios para el análisis y la investigación de mercados. Muchos optan por bloquear estas URL con aplicaciones como PrivacyBadger del FEP, sin embargo, estas herramientas son inútiles contra intrusos solicitudes WebRTC STUN. La única manera de bloquear por completo estas solicitudes es utilizar la función de bloque de fuga WebRTC de TorGuard sobre VPN, o para deshacerse de Javascript en su totalidad.

Vamos a romper algunas cosas, ¿eh?


Poco después de este problema comenzó a atraer una mayor atención, Dan Kaminsky, el investigador de seguridad y co-fundador de WhiteOps, ofreció una explicación:

"Dan Kaminsky aquí, mis disculpas por levantando un alboroto. Esto es parte de un marco de detección bot que he construido en el White Operaciones; que básicamente son capaces de detectar la automatización navegador usando recursos expuestos en JavaScript. Nada peligroso para los usuarios - o iríamos errores de archivos en él, lo que hacemos de vez en cuando - pero proporciona datos útiles sobre el comportamiento posterior a la explotación. Feliz de saltar en una llamada con cualquier persona relacionada o preocupado.

"Esto es parte de una tecnología anti-bot que he estado desarrollando en Operaciones blancos (whiteops.com) durante algún tiempo. Hay otra cara de privacidad aquí; resulta algo así como 2 / 3rds de fraude bot viene de los usuarios domésticos que se ven comprometidos a fin de efectuar más fraude anuncio. Básicamente estamos atacando el canal de financiación que hace que la gente hackeados. Pero sí nos obligan a ser capaz de detectar la piratería, así que tenemos estas pruebas desplegados ".

Sólo unos pocos días después de defender estas acciones, Dan desactivado todas las solicitudes de STUN. Los usuarios han confirmado que el código WebRTC ya no está activa en estos sitios web y ha sido sustituido por un guión alternativo.

No renunciar a la privacidad del usuario

Si bien las intenciones pueden haber sido las acciones respetables, extralimitación que niegan la privacidad del usuario casi siempre vienen con riesgos heredar. En este caso debemos preguntarnos, ¿vale la pena romper la privacidad en Internet en nombre de la publicidad fraude? Nosotros no pensamos.

Con grandes datos, viene gran responsabilidad. Cualquier red de publicidad que viole sistemáticamente la privacidad del usuario en el nombre de análisis será en el tiempo convertirse en un objetivo grande a sí mismos por las operaciones de vigilancia. Si usted no puede confiar plenamente en la persona encargada del seguimiento de todos esos datos, las buenas intenciones pueden convertirse malicioso muy rápidamente.

Nunca confiar su privacidad personal a algún sitio web al azar o red de anuncios, que es los términos de servicio es probable que no tenga acceso. TorGuard anónimo VPN proporciona fácil de usar soluciones de privacidad que bloquea los anunciantes de saber su dirección IP personal o verdadera ubicación. Con las aplicaciones de VPN simples que cuentan con el bloque de fugas WebRTC e IPv6 medidas de prevención de fugas, usted puede estar seguro que su dirección IP personal es asunto de nadie, sino el suyo propio.

1 comentario:

  1. Buen copy paste amigo!. Un consejo, revisa la traducción de tus posts antes de publicar. Habría sido un buen post, pero tu mediocridad no da ni para revisar faltas ortográficas y gramaticales.

    ResponderEliminar