新たなSNSアカウント特定手法「Silhouette」 27
ストーリー by hylom
現実的にどこまで問題となるか 部門より
現実的にどこまで問題となるか 部門より
take-ash曰く、
NTTは新たなSNSアカウント特定手法「Silhouette」を発見し、そのリスクを評価する手法を開発したと発表した(ニュースリリース、技術解説、NHKニュース)。
あるアカウントが別のアカウントをブロックしているか/していないかでSNSサイトからの応答時間が異なることを利用する。攻撃者は予めSNSサイトに複数のアカウント特定補助用アカウントを作成しておく。被攻撃者がアカウント特定スクリプトが仕込まれたサイトを訪問すると、SNSサイトのアカウント特定補助用アカウント群への応答時間が測定される。被攻撃者のブロック状況によって応答時間のパターンが異なることから攻撃者が被攻撃者のアカウントを特定可能である。
ユーザ側の対策としてはこまめにログアウトすることを推奨している。
サービスを作る側としてユーザーを守るには (スコア:1)
ダミーの処理かウェイトでも入れて、対象者と非対称者で応答時間をなるべく等しくするくらいしか思いつかんなぁ。
Re: (スコア:0)
全ての応答にrandom wait入れようぜ
もうどっちがどっちだか判別不可能だ
Firefoxの追跡防止機能 (スコア:1)
あれを有効化するとTwitterやFacebookの埋め込みコンテンツもブロックされるんだけど、そこまでする意味があるのかなと思ってました。
意味あったんですね。
# LINE共有ボタンが消えないんだけどどこに依頼すれば良いんだろう。
Re: (スコア:0)
追跡防止って DNT のことかと思ったら、ブロックリストを使った方式もあったんですね。
> # LINE共有ボタンが消えないんだけどどこに依頼すれば良いんだろう。
ドキュメントによると disconnect.me のブロックリストを使っているとのことなので、そちらに報告すれば変わるかも。
報告はここかな?
https://disconnect.me/trackerprotection#feedback [disconnect.me]
github にリストがあるようなので、そっちにプルリクでも行けるかも。
# 個人的には uBlock Origin と uMatrix で相当防いでるので関係ないはず
Re: (スコア:0)
ありがとうございます。
簡単な報告フォームだったので早速送信してきました。
uBlock Originを併用していれば問題ないのはその通りなのですが、できればブラウザの内蔵機能だけで対処できた方が良いかなと。
検証等で広告ブロッカー無しのFirefoxを使う事もあるのでLINE共有ボタンだけ残るのが気になっていまして。
Re: (スコア:0)
firefoxって単純にドメイン違うだけで全拒否する動作も持ってたような。
ブロックリストよりもよっぽどヒステリックな挙動だけどまぁ安全は安全かな……正常に動かんケースも増えそうだが。
# プライベートタブだとデフォ有効で、togetter開いてもtwitterの画像一切見えなくなってビビった…
孤独なSilhouette動き出せば (スコア:0)
それはまぎれもなくヤツさ
Re: (スコア:0)
♪CORBA~
必要なのは「ブロックできる人数の制限」 (スコア:0)
この攻撃方法でわかるのは、攻撃者が用意したアカウントからブロックされているかいないか。なのでアカウントを10個とか用意して同時攻撃すれば、2^10=1024人を識別できる。
実用的には数百万人を識別しないといけないので、アカウントは20個ほど必要。この場合は、それぞれの攻撃用アカウントは識別対象の半数、約50万人をブロックしておかないといけない。ここを潰しておけば、ある程度の被害は防げる。
ただ、小数を対象としたターゲット攻撃には対抗できないが。
Re: (スコア:0)
理屈は全く持ってその通りですが、この場合、ターゲット攻撃ってどうやれば可能ですかね。
SNS(SWS)のアカウントと、攻撃サイトへアクセスした人とを紐付けられる攻撃といえますが、その際に、サイトに訪れる人のアカウント候補をある程度の小数に絞れるシチュエーションが余り思いつきません。
Re: (スコア:0)
SNSをターゲットにするならある特定の話題に食い付きやすいのも分かるだろうから、それで対象をざっくり絞り混んで、
対象が好む話題を出して一見して問題ないページに誘導して、を繰り返せば特定できないかな?
ログアウトできない場合はどうすれば? (スコア:0)
Chrome使用時、Google+とかいうSNSからログアウトできないのですが。
皆さんどうしてるんだろう。
Re:ログアウトできない場合はどうすれば? (スコア:2)
一旦、設定からプライバシー情報全消しとか?
あとはGoogle Chromeはプロファイルを分けられるから、GoogleアカウントやSNSで使う専用のプロファイルを作って使い分ける、その他のサイトにアクセスするときは別のプロファイルのChromeやシークレットモード使うとか。
Re: (スコア:0)
誰もブロックしなければいい。
この攻撃は攻撃者のアカウントをブロックしているか否かで判別してる。誰もブロックしていない人は特定できないから攻撃は成立しない
Re:ログアウトできない場合はどうすれば? (スコア:3, 興味深い)
技術資料からリンクされているPDFファイルを見るとわかりますが、逆ですよ。
攻撃者が、適当なアカウントを大量に作って、それらのユーザから、分析したいユーザ群に対してブロックします。
被攻撃者が攻撃者のアカウントをブロックしているかどうかは関係ありません。
なので、対策が「こまめにログアウト」となっているわけです。
Re: (スコア:0)
Chromiumを使えばいいのでは
Re: (スコア:0)
サードパーティドメイン弾けば
ついでに広告やウイルスも消えて
良い事尽くめでしょうに
繋がりは必要に応じて許可すればいい
どうしたらノーガードで安心できますか? なんて聞かれても
生暖かい目で見守ってあげるくらいしかできませんですはい
Re: (スコア:0)
やっぱり、それぐらいしかないですか。
自動ログインだけ無効にできればよいのに。
Re: (スコア:0)
> 皆さんどうしてるんだろう。
Googleアカウントを作らず、したがってログインせずに使う。
Re: (スコア:0)
グーグルのシングルサインオンなのでグーグルのサービスからログアウトすれば済むはず
Re: (スコア:0)
0.0.0.0 plus.google.com
0.0.0.0 plus.googleapis.com
どうぞ
Re: (スコア:0)
3rd pt cookieブロックで防げる
自分でつけた山火事の消し方 (スコア:0)
みたいな
本当に必要な技術なの?
Re: (スコア:0)
こんなにめんどうなことやるなら、普通にHTML上のユーザ名の要素をJavascriptかなにかで持ってくるだけじゃダメなの?
Re:自分でつけた山火事の消し方 (スコア:1)
普通はブラウザのセキュリティ機構(クロスドメイン制約)で不可能になってる。
ただ、昔のWebGL [security.srad.jp]とかCSS [it.srad.jp]とかの描画系から攻めるのが比較的最近のトレンド。
Re: (スコア:0)
まあ深呼吸から始めようか