Δωρεάν cookies Netflix; Αρκετοί ιστότοποι προσφέρουν οδηγίες για την παράκαμψη της ασφάλειας του Netflix και δωρεάν πρόσβαση σε λογαριασμούς
Καθώς οι υπηρεσίες ροής εντείνουν τις προσπάθειές τους να περιορίσουν την κοινή χρήση κωδικών πρόσβασης, μια αναδυόμενη εισβολή λογαριασμού Netflix μπορεί να δώσει στην εταιρεία και στους χρήστες της κάτι να ανησυχούν. Δεκάδες ιστοσελίδες προσφέρουν πλέονδωρεάν πρόσβαση στο Netflix, δεν απαιτείται κωδικός πρόσβασης.
Αντίθετα, το hack βασίζεται σε μια εύκολη παράκαμψη που βασίζεται σε πρόγραμμα περιήγησης για την πρόσβαση στο λογαριασμό άλλων χρηστών επί πληρωμή ή δωρεάν δοκιμής. Υπάρχουν επίσης λίγα Netflix ή άλλες υπηρεσίες ροής που μπορούν να κάνουν για αυτό χωρίς να επηρεάσουν δραματικά την εμπειρία του χρήστη.
Τους τελευταίους 12 μήνες, ένας αυξανόμενος αριθμός ιστότοπων άρχισαν να διαφημίζουν ανοιχτά αυτό που ονομάζουν 'Cookies Premium Netflix'. Ο κώδικας από αυτά τα αρχεία που βασίζονται σε πρόγραμμα περιήγησης μπορεί να κοινοποιηθεί και, όταν εφαρμοστεί σωστά, να παρακάμψει πλήρως τις μεθόδους ασφαλείας του λογαριασμού του Netflix, επιτρέποντας την πλήρη πρόσβαση σε έναν premium λογαριασμό Netflix χωρίς την ανάγκη κωδικού πρόσβασης ή πληρωμής.
Χρησιμοποιώντας αυτήν τη μέθοδο, οποιοσδήποτε μπορεί εύκολα να αποφύγει την πληρωμή για έναν λογαριασμό Netflix. Διαπιστώσαμε ότι τουλάχιστον ορισμένα από αυτά τα ελεύθερα διαθέσιμα cookie περιόδου λειτουργίας Netflix έχουν πρόσβαση σε εγγεγραμμένους δοκιμαστικούς λογαριασμούς που πιθανότατα δημιουργήθηκαν μόνο για αυτόν τον σκοπό. Ωστόσο, διαπιστώσαμε επίσης ότι αυτή η μέθοδος παράκαμψης λογαριασμού μπορεί επίσης να χρησιμοποιηθεί με κλεμμένα δεδομένα χρήστη Netflix από λογαριασμούς επί πληρωμή.
Με βάση τα όσα συνέβησαν το 2018 που ακολούθησε Η απειλή κακόβουλου λογισμικού του Facebook για κλοπή cookie , είναι πιθανό κάποια από αυτά τα «δωρεάν» cookie Netflix να κλαπούν και να μην προσφέρονται μέσω δωρεάν δοκιμαστικών λογαριασμών. Σε κάθε περίπτωση, αυτή η μέθοδος παραβιάζει τους Όρους Παροχής Υπηρεσιών του Netflix για κοινή χρήση λογαριασμού.
Μέσα από τη συνεχιζόμενη έρευνά μας στο Netflix, ανακαλύψαμε:
- Πάνω από δύο δωδεκάδες ιστότοποι είτε δημοσιεύουν τακτικά είτε έχουν δημοσιεύσει δεδομένα cookie Netflix (συνήθως διαφημίζονται ως 'cookies περιόδου λειτουργίας Netflix') που επιτρέπουν σε οποιονδήποτε να παρακάμψει τις συνήθεις μεθόδους ασφαλείας λογαριασμού και να έχει παράνομη πρόσβαση στο Netflix
- Ορισμένοι ιστότοποι ενημερώνουν (ή ισχυρίζονται ότι ενημερώνουν) τη μνήμη cache των cookie Netflix τόσο συχνά όσο κάθε ώρα
- Η πλειονότητα αυτών των ιστότοπων εγγράφηκαν τους τελευταίους 12 μήνες, γεγονός που μπορεί να υποδηλώνει μια νέα καμπάνια για την αξιοποίηση αυτής της μεθόδου παράκαμψης
- Πολλοί από αυτούς τους ιστότοπους εμφανίζονται πλέον ψηλά στα αποτελέσματα της Αναζήτησης Google
Τι είναι τα μόνιμα cookie του Netflix;
Σχεδόν κάθε ιστότοπος χρησιμοποιεί πλέον τα γνωστά ως «cookies» για την αποθήκευση πληροφοριών επισκεπτών. Καθώς επισκέπτεστε έναν ιστότοπο, οι διακομιστές του ιστότοπου λένε στον υπολογιστή ή τη συσκευή σας να δημιουργήσει και να αποθηκεύσει ένα μικρό αρχείο που περιέχει πληροφορίες σχετικά με την επίσκεψή σας. Εάν συνδέεστε σε έναν λογαριασμό, το αρχείο θα περιέχει επίσης ανώνυμες πληροφορίες μέσω κώδικα που επιτρέπει στον διακομιστή να γνωρίζει ποιος είστε κατά τις επόμενες επισκέψεις στον ιστότοπο.
Τα cookies κάνουν τον ιστό σημαντικά πιο χρήσιμο και ταχύτερο και δημιουργούν μια λιγότερο χρονοβόρα εμπειρία περιήγησης.
ο επίμονα cookies όπως αυτές που χρησιμοποιεί το Netflix και πολλές άλλες υπηρεσίες ροής καθιστούν δυνατή την πρόσβαση στους λογαριασμούς σας χωρίς να χρειάζεται να εισάγετε ξανά το όνομα χρήστη και τον κωδικό πρόσβασής σας κάθε φορά που επισκέπτεστε. Είναι ιδιαίτερα χρήσιμα για όσους κάνουν ροή μέσω εφαρμογών smartphone ή tablet, συσκευών συνδεδεμένων με τηλεόραση όπως το Roku ή το Amazon Fire TV ή μέσω έξυπνων τηλεοράσεων.
Πώς λειτουργούν τα μόνιμα cookies;
Όταν επισκέπτεστε έναν ιστότοπο και συνδέεστε στον λογαριασμό σας, ο διακομιστής του ιστότοπου κατευθύνει τη συσκευή σας να δημιουργήσει και να αποθηκεύσει ένα μικρό αρχείο που περιέχει στοιχειώδεις πληροφορίες και 'σημαίες' ασφαλείας. Συγκεκριμένα, το αρχείο cookie περιέχει πληροφορίες σχετικά με την ημερομηνία δημιουργίας του αρχείου, την ημερομηνία λήξης του αρχείου, ένα μοναδικό αναγνωριστικό και πρόσθετες σημαίες που βοηθούν στην προστασία του cookie από ορισμένους τύπους εισβολής και κακής χρήσης.
Για παράδειγμα, δείτε πώς μπορεί να μοιάζει το αρχείο cookie συνεδρίας αφού επισκεφτείτε την αρχική σελίδα του Reddit:
|_+_|Οι διακομιστές του ιστότοπου δημιουργούν επίσης ένα παρόμοιο αρχείο με τα δεδομένα συνεδρίας σας.
Όταν φεύγετε και στη συνέχεια προσπαθείτε να αποκτήσετε ξανά πρόσβαση στους περισσότερους ιστότοπους ή εφαρμογές, η συσκευή σας στέλνει το μόνιμο cookie στους διακομιστές του ιστότοπου. Ο ιστότοπος επαληθεύει το μοναδικό αναγνωριστικό, αποκτά πρόσβαση στα στοιχεία του λογαριασμού σας σε σχέση με αυτό που έχει αποθηκευμένο και, στη συνέχεια, σας επιτρέπει να κάνετε βαλς απευθείας για την τηλεοπτική φαγοπότι μετά την εργασία σας ή το ξεφάντωμα αγορών από το Amazon.
Όλα αυτά συνήθως συμβαίνουν σε λίγα δευτερόλεπτα, γι' αυτό μπορείτε να πατήσετε την εφαρμογή Netflix ή να μεταβείτε στον ιστότοπο στο πρόγραμμα περιήγησής σας και να μεταβείτε στην οθόνη επιλογής προφίλ σχεδόν αμέσως.
Τα μόνιμα cookies μπορούν να σχεδιαστούν ώστε να διαρκούν για σχεδόν οποιοδήποτε χρονικό διάστημα. Τα διαστήματα περιγράφονται στο cookie χρησιμοποιώντας δευτερόλεπτα και δεν υπάρχει μεγάλο όριο πάνω ή κάτω. Αυτό σημαίνει ότι τα επίμονα cookies σας θα μπορούσαν να διαρκέσουν οπουδήποτε από λίγα λεπτά έως μερικές χιλιάδες χρόνια.
Το πόσο διαρκεί το cookie εξαρτάται από τον ιστότοπο ή την υπηρεσία που χρησιμοποιείτε, καθώς κάθε εταιρεία υπαγορεύει στους προγραμματιστές ιστού της πόσο καιρό θα πρέπει να διατηρούνται τα δικά της cookie. Μόνο όταν αυτά τα cookie έχουν σχεδιαστεί για να μένουν μετά το κλείσιμο του προγράμματος περιήγησης ή της εφαρμογής σας, εμπίπτουν στην κατηγορία που είναι γνωστή ως 'μόνιμα cookies'. Αυτά τα cookie που έχουν σχεδιαστεί για να διαγράφονται όταν φεύγετε από τον ιστότοπο είναι γνωστά ως 'cookies περιόδου λειτουργίας' (αν και οι περισσότεροι ιστότοποι που προσφέρουν cookie Netflix εσφαλμένα αναφέρονται σε αυτά ως απλώς 'cookies περιόδου λειτουργίας').
Τα μόνιμα cookies του Netflix είναι συνήθως σχεδιασμένα να διαρκούν περίπου 365 ημέρες, κάτι που είναι επίσης κοινό σε πολλούς ιστότοπους. Εκτός εάν αποσυνδεθείτε σκόπιμα από το Netflix ή διαγράψετε μη αυτόματα τα cookie σας, αυτά τα αρχεία θα συνεχίσουν να σας επιτρέπουν να εισέλθετε στον λογαριασμό σας στο Netflix μέχρι να λήξει το cookie.
Είναι σημαντικό τα cookie Netflix και οποιαδήποτε άλλα μόνιμα cookieδεν έχουν συνδεδεμένο τον κωδικό πρόσβασης και το όνομα χρήστη σας.Εάν κάποιος κλέψει τα δεδομένα cookie του Netflix, δεν θα μπορούσε να χρησιμοποιηθεί για την κλοπή του κωδικού πρόσβασής σας, αν και θα μπορούσε να χρησιμοποιηθεί για πρόσβαση στον λογαριασμό σας. Το πρόβλημα, πράγματι, δεν είναι ότι τα cookies περιέχουν ασφαλείς κωδικούς πρόσβασης, αλλά ότι παρακάμπτουν την ανάγκηΓιακωδικούς πρόσβασης συνολικά.
Σε γενικές γραμμές, αυτά τα ασφαλή αρχεία cookie θα πρέπει να υπάρχουν μόνο σε δύο τοποθεσίες: σε κάθε μεμονωμένο υπολογιστή ή συσκευή που χρησιμοποιείτε για τους λογαριασμούς σας και στους διακομιστές της εταιρείας στις υπηρεσίες των οποίων έχετε πρόσβαση. Έτσι, παρόλο που κάνετε ροή Netflix από πολλές συσκευές, κάθε μία από αυτές τις συσκευές έχει το δικό της, μοναδικό cookie περιόδου λειτουργίας.
Πώς οι άνθρωποι παρακάμπτουν την ασφάλεια του Netflix με μόνιμα cookie;
Τα μόνιμα cookies έχουν σχεδιαστεί για να επιτρέπουν την πρόσβαση σε λογαριασμούς που προστατεύονται με κωδικό πρόσβασης χωρίς την ανάγκη επανεισαγωγής πληροφοριών ασφαλείας λογαριασμού. Ωστόσο, δεν περιορίζονται σε συγκεκριμένες συσκευές και δεν περιέχουν πληροφορίες που προσδιορίζουν ή κωδικοποιούν μια συγκεκριμένη συσκευή ή τοποθεσία σε αυτές. Αυτό σημαίνει ότι δεν περιέχουν, για παράδειγμα, μοναδικές διευθύνσεις MAC ή διευθύνσεις IP.
Αυτό σημαίνει επίσης ότι εάν κάποιος αντιγράψει και μοιραστεί αυτό το αρχείο cookie ή απλώς τα δεδομένα που φυλάσσονται σε αυτό, τότε καθίσταται δυνατή η χρήση αυτών των πληροφοριών για πρόσβαση σε έναν λογαριασμό που προστατεύεται συνήθως με κωδικό πρόσβασης. Και με αυξανόμενη συχνότητα, αυτό ακριβώς κάνουν οι άνθρωποι.
EditThisCookie
Οι περισσότεροι χρήστες του διαδικτύου δεν διαθέτουν τις τεχνικές γνώσεις ή την ικανότητα να επεξεργάζονται τα δεδομένα cookie με τον δύσκολο τρόπο. Εκεί αρέσει στις προσθήκες του προγράμματος περιήγησης Chrome EditThisCookie για Chrome Αυτά τα πρόσθετα διευκολύνουν την εισαγωγή και εξαγωγή δεδομένων cookie χωρίς δεξιότητες ή εμπειρία προγραμματισμού.
Στην πραγματικότητα, χρησιμοποιώντας αυτό το πρόσθετο προγράμματος περιήγησης, μπορεί κανείς να εισάγει και να εξάγει υπάρχοντα δεδομένα cookie σε λίγα δευτερόλεπτα. Η μόνη δυσκολία, τουλάχιστον μέχρι πρόσφατα, θα ήταν να αποκτήσει κανείς τα δεδομένα cookie περιόδου λειτουργίας άλλου χρήστη του Netflix.
Τους τελευταίους 12 μήνες, ωστόσο, η Google άρχισε να ευρετηριάζει πάνω από δύο δωδεκάδες ιστότοπους που προσφέρουν «cookies περιόδου λειτουργίας Netflix», οι περισσότεροι από τους οποίους παρέχουν επίσης οδηγίες για τον τρόπο χρήσης της επέκτασης EditThisCookie Chrome για την εφαρμογή των cookies. Πολλοί από αυτούς τους ιστότοπους δεν άρχισαν απλώς να εμφανίζονται ψηλά στις αναζητήσεις Google τους τελευταίους 12 μήνες. οι περισσότεροι ήταν επίσηςδημιουργήθηκεμέσα στους τελευταίους 12 μήνες.
Επιπλέον, οι περισσότεροι από αυτούς τους ιστότοπους αποκρύπτουν σκόπιμα τα στοιχεία ιδιοκτησίας τους. Βρήκαμε έναν ιστότοπο που μπορέσαμε να εντοπίσουμε σε έναν μεμονωμένο προγραμματιστή στην Ινδία. Μέχρι αυτή τη στιγμή που γράφονται αυτές οι γραμμές, δεν έχει απαντήσει μέσω email για περισσότερες πληροφορίες σχετικά με την προέλευση αυτών των cookies.
Λειτουργεί πραγματικά το μόνιμο hack cookie του Netflix;
Ενώ δοκίμασα αυτή τη μέθοδο εσωτερικά από το ένα πρόγραμμα περιήγησης ιστού σε ένα άλλο στον ίδιο υπολογιστή (Chrome σε Opera), επαληθεύσαμε ότι λειτουργεί με cookie που λαμβάνονται εξωτερικά.
Ανταλλάξαμε δεδομένα cookie Netflix μεταξύ εμένα και ενός άλλου συντάκτη της Comparitech. Χρησιμοποιώντας το EditThisCookie, μπόρεσα να έχω πρόσβαση στον λογαριασμό Netflix του ανώτερου εκδότη Paul Bischoff, για παράδειγμα, χωρίς να χρειάζομαι τα στοιχεία σύνδεσής του. Το μόνο που έκανα ήταν:
- Αντιγράψτε τα δεδομένα του cookie (μου εστάλησαν μέσω αρχείου κειμένου)
- Χρησιμοποιήστε τη λειτουργία 'Εισαγωγή' στην προσθήκη EditThisCookie Chrome
- Επικολλήστε τα δεδομένα cookie
- Ανανεώστε τη σελίδα του προγράμματος περιήγησης που δείχνει στο Netflix
Σε λίγα δευτερόλεπτα, είχα πρόσβαση στον λογαριασμό του. Βρήκα ότι είχα και πλήρη προνόμια,συμπεριλαμβανομένης της επιλογής αλλαγής του κωδικού πρόσβασής του, της διεύθυνσης email που σχετίζεται με τον λογαριασμό και της επιλογής αποσύνδεσής του από τις συσκευές του.Θα μπορούσα επίσης να δω τις διευθύνσεις IP των συσκευών του που χρησιμοποιήθηκαν πιο πρόσφατα (πληροφορίες που θα μπορούσαν να χρησιμοποιηθούν για την πραγματοποίηση μιας επίθεσης DDoS ή Επίθεση SWAT ) και το ιστορικό περιήγησής του.
Το Netflix απαιτεί να εισαγάγετε τον τρέχοντα κωδικό πρόσβασής σας εάν θέλετε να αλλάξετε σε νέο. Ωστόσο, όποιος αποκτά παράνομη πρόσβαση στον λογαριασμό σας μπορεί να δει τη διεύθυνση email και τον αριθμό τηλεφώνου σας. Αυτές οι πληροφορίες θα μπορούσαν να διασταυρωθούν με πληροφορίες που εκτέθηκαν σε προηγούμενες παραβιάσεις δεδομένων—που μπορούν να ληφθούν εύκολα στον σκοτεινό ιστό—επιτρέποντας δυνητικά σε έναν χάκερ να αποκτήσει έναν κωδικό πρόσβασης και να αναλάβει τον λογαριασμό. Γι' αυτό είναι πάντα σημαντικό να χρησιμοποιείτε έναν μοναδικό κωδικό πρόσβασης για κάθε διαδικτυακό λογαριασμό.
Το μόνο πράγμα που δεν μπόρεσα να κάνω (ευτυχώς), ήταν να αποκτήσω πρόσβαση στα πλήρη στοιχεία πληρωμής του (μόνο το όνομα πληρωμής, τα τελευταία 4 ψηφία της κάρτας που χρησιμοποιήθηκε και η ημερομηνία λήξης της κάρτας. Ακόμα και πάλι, αυτές μπορεί να είναι αρκετές πληροφορίες για να πείσω ένας λιγότερο απαιτητικός εκπρόσωπος τράπεζας για να παρέχει περισσότερα στοιχεία λογαριασμού μέσω τηλεφώνου.
Θα μπορούσα επίσης να αντικαταστήσω τα στοιχεία πληρωμής του με τα δικά μου, αν ήθελα να αναλάβω πλήρως τον λογαριασμό του.
Πού λαμβάνουν αυτοί οι ιστότοποι cookies Netflix;
Υπάρχουν κάποιες δυνατότητες που πρέπει να εξεταστούν. Πολλοί από αυτούς τους ιστότοπους που μοιράζονται μόνιμα cookie του Netflix ισχυρίζονται ότι το κάνουν νόμιμα. Η τυπική δήλωση που περιλαμβάνουν είναι ότι αυτά τα cookies κοινοποιούνται ελεύθερα και δίκαια από άτομα που πληρώνουν προσωπικά για λογαριασμούς ή εγγράφονται για δωρεάν δοκιμές. Τουλάχιστον, αυτό σημαίνει ότι παραβιάζουν κατάφωρα το Netflix Όροι χρήσης (ToS) σχετικά με την κοινή χρήση λογαριασμού. Και πράγματι, κατά τη δοκιμή, εντοπίσαμε τουλάχιστον ένα αρχείο cookie κοινόχρηστο σε έναν από αυτούς τους ιστότοπους που λειτουργούσε για την πρόσβαση σε έναν δωρεάν δοκιμαστικό λογαριασμό.
Ωστόσο, με τόσους πολλούς ιστότοπους που προσφέρουν δωρεάν cookies και με πολλούς που ισχυρίζονται ότι τα ενημερώνουν καθημερινά ή ακόμα και ανά ώρα, υπάρχει η πιθανότητα να κλαπούν ορισμένα από αυτά τα cookies. Υπάρχει επίσης πρόσφατο προηγούμενο για αυτό το είδος δραστηριότητας υπό το φως του κακόβουλου λογισμικού Stresspaint που κλέβει cookie που αντιμετώπισε το Facebook το 2018.
Frank Downs, Διευθυντής Πρακτικών Κυβερνοασφάλειας στο ISACA , συμφωνεί. «Αυτό θα μπορούσε να είναι το αποτέλεσμα πολλών διαφορετικών ενεργειών», μας λέει.
«Ναι, οι ιστότοποι θα μπορούσαν να μοιράζονται πληροφορίες cookie, αλλά… αυτό που μπορεί να είναι πιο πιθανό είναι ότι υπάρχει μια σοβαρή ευπάθεια την οποία μπορούν να εκμεταλλευτούν οι εισβολείς, η οποία είναι ευρέως διαδεδομένη. Αυτό μπορεί ακόμη και να είναι μια αποκαλυπτόμενη ευπάθεια που δεν έχει ακόμη αντιμετωπιστεί από το Netflix, πόσο μάλλον από όλους τους συνεργάτες που αξιοποιούν τις υπηρεσίες ροής του Netflix».
Προς τιμήν του, ο Ντάουνς ήταν ευθύς. Σύμφωνα με μια ανάρτηση Medium του Νοεμβρίου 2018 από έναν ερευνητή κυβερνοασφάλειας γνωστού ως blueberryinfosec (Bbinfosec), το Netflix είναι πράγματι έχοντας επίγνωση της ευπάθειας —και το θεωρεί «εκτός πεδίου εφαρμογής». Με άλλα λόγια: πρόβλημα τελικού χρήστη, όχι δικό τους. Στην ανάρτησή του τον Νοέμβριο του 2018, ο Bbinfosec εξήγησε πώς ανέφερε το ζήτημα στο Netflix ως μέρος του πρόγραμμα επιβράβευσης σφαλμάτων .
Ο αριθμός των ιστότοπων που μοιράζονται cookies Netflix και η προαναφερθείσα μέθοδος παράκαμψης αυξήθηκε γρήγορα λίγο μετά τη δημοσίευση της αναφοράς του Bbinfosec.
Εάν υπάρχει ευρεία κλοπή cookie, παραμένει μυστήριο ως προς το πού μπορούν να κλαπούν αυτά τα cookies. Η πιο πιθανή απάντηση είναι μέσω παλαιότερων και λιγότερο ασφαλών συσκευών που έχουν μολυνθεί με κακόβουλο λογισμικό που κλέβει cookie που λειτουργούν παρόμοια με το Stresspaint, μέσω επιθέσεων XSS ή από συσκευές που παραβιάζονται μέσω επιθέσεων Man-in-the-Middle (MiTM).
Σχεδόν 5 εκατομμύρια ιστότοποι θα μπορούσαν να χρησιμοποιηθούν για την κλοπή cookies του Netflix
Για να αποκαλύψει την έκταση της πιθανής απειλής, η Comparitech διεξήγαγε αρκετές δοκιμές για να προσδιορίσει πόσες δέσμη ενεργειών μεταξύ τοποθεσιών Υπάρχουν ευπάθειες (XSS) που θα μπορούσαν να χρησιμοποιήσουν οι χάκερ για να κλέψουν τα cookie του Netflix, πόσοι ιστότοποι έχουν αυτήν τη στιγμή αυτές τις ευπάθειες και εάν μια επίθεση XSS θα μπορούσε να συγκεντρώσει δεδομένα cookie ενός χρήστη Netflix για εξωτερική χρήση.
Πιο συγκεκριμένα:
- Συνηθίζαμε Shodan για να αναζητήσετε 14.221 ευπάθειες XSS που δημοσιεύτηκαν στις CVE , 204 από τους οποίους διέθεταν διαδικτυακούς οικοδεσπότες που ήταν ευάλωτοι σε επιθέσεις
- Βρήκαμε 28.173.468 περιπτώσεις όπου οι εκτελούμενες υπηρεσίες, όπως ο Apache, επηρεάζονται από αυτά τα τρωτά σημεία XSS
- Η πιο κοινή ευπάθεια που βρήκαμε ήταν CVE-2018-17082 σε PHP. Επηρεάζει 4,8 εκατομμύρια ιστότοπους
Λόγω των πολιτικών cookie του Netflix, οι εισβολείς μπορούν να χρησιμοποιήσουν οποιαδήποτε από τις ευάλωτες υπηρεσίες που βρήκαμε για να κλέψουν cookies περιόδου λειτουργίας Netflix. Το δοκιμάσαμε μόνοι μας στο εργαστήριο και μπορέσαμε να χρησιμοποιήσουμε έναν παραβιασμένο ιστότοπο και ένα γνωστό ελάττωμα σε μια παλιά έκδοση του Firefox για να κλέψουμε ένα cookie περιόδου λειτουργίας.
Υποστήριξη παλαιότερων συσκευών του Netflix
Ωστόσο, το πρόβλημα εκτείνεται πέρα από τους ευάλωτους ιστότοπους. Οι παλαιότερες συσκευές δημιουργούν απειλή για την ασφάλεια όταν εμπλέκονται cookies.
Σύμφωνα με το Direct of Cybersecurity Practices της ISACA, «τα ξεπερασμένα συστήματα που χρησιμοποιούνται από τα θύματα τα καθιστούν πιο ευαίσθητα».
Οι περισσότεροι χρήστες του Netflix είναι πιθανό να κάνουν ροή μέσω ενημερωμένων συσκευών, αλλά το Netflix εξακολουθεί να υποστηρίζει ορισμένα παλαιότερα προγράμματα περιήγησης ιστού που είναι κοινά μεταξύ των λειτουργικών συστημάτων Windows 7 και Windows Vista. Αυτά δεν διαθέτουν ορισμένες από τις πιο πρόσφατα ενημερωμένες σημαίες ασφαλείας cookie που θα μπορούσαν να βοηθήσουν στην αποφυγή κλοπής cookie.
Το Netflix λειτουργεί σε πολλά παλαιότερα προγράμματα περιήγησης ιστού και σε πολλές λιγότερο ασφαλείς συσκευές. Η εφαρμογή μπορεί επίσης να ληφθεί σε συσκευές ροής χαμηλού κόστους που βασίζονται σε Android που πωλούνται μέσω eBay ή Amazon. Αυτές οι συσκευές θα μπορούσαν να είχαν προεγκατεστημένο κακόβουλο λογισμικό κλοπής cookie από τον πωλητή.
Επιπλέον, οποιοσδήποτε κάνει streaming μέσω παλαιότερων συσκευών που είναι συνδεδεμένες με τηλεόραση, ή ακόμα και έξυπνων τηλεοράσεων, μπορεί να είναι πολύ πιο ευαίσθητος λόγω των λιγότερο συχνών και λιγότερο αποτελεσματικών ενημερώσεων συσκευών. Όσοι χρησιμοποιούν τέτοιες συσκευές «είναι επιρρεπείς σε πιθανές επιθέσεις για μεγαλύτερα διαστήματα, παρέχοντας μεγαλύτερο παράθυρο επίθεσης για τους κακόβουλους παράγοντες», εξήγησε ο Downs.
Αν και είναι πιθανό ορισμένοι από αυτούς τους ιδιοκτήτες ιστότοπων και οι πηγές τους να λειτουργούν με μια αίσθηση αλτρουισμού, είναι επίσης πιθανό κάποιοι να είναι συνένοχοι στην κλοπή λογαριασμού Netflix. Τα διαφημιζόμενα και προσφερόμενα δεδομένα cookie Netflix πιθανώς να προέρχονται ιδιωτικά από χάκερ και να έχουν έσοδα μέσω διαφημίσεων στη σελίδα σε αυτούς τους ιστότοπους.
Η επίμονη κλοπή cookie αποτελεί απειλή για ιστότοπους που βασίζονται σε λογαριασμούς
Στα μέσα του 2018, η εταιρεία κυβερνοασφάλειας Radware εξέδωσε Μια προειδοποίηση σχετικά με τον ιό «Stresspaint». Τοποθετημένο μέσα σε μια παρόμοια με το όνομα εφαρμογή που ονομάζεται 'Relieve Stress Paint', το κακόβουλο λογισμικό κλέβει διακριτικά τα μόνιμα cookies του προγράμματος περιήγησης στο Facebook των θυμάτων. Μόλις οι προγραμματιστές του Stresspaint αποκτήσουν αυτά τα αρχεία, μπορούν γρήγορα να παρακάμψουν τις συνήθεις μεθόδους ασφαλείας του λογαριασμού Facebook—συμπεριλαμβανομένων των απαιτήσεων ονόματος χρήστη και κωδικού πρόσβασης και ελέγχου ταυτότητας πολλαπλών παραγόντων—για παράνομη πρόσβαση σε λογαριασμούς Facebook.
Το 'Stresspaint' είναι ανησυχητικό, αλλά δεν είναι μια νέα προσέγγιση για την κλοπή λογαριασμού. Πιο τεχνικά αναφέρεται ως 'πειρατεία περιόδων σύνδεσης', αυτή η απειλή για την ασφάλεια του Διαδικτύου είναι ένα γνωστό πρόβλημα για σχεδόν οποιονδήποτε ιστότοπο εκεί έξω που χρησιμοποιεί λογαριασμούς που προστατεύονται με κωδικό πρόσβασης. Ωστόσο, είναι ιδιαίτερα προβληματικό για ευρέως δημοφιλείς ιστότοπους, όπως το Netflix, που χρησιμοποιούν μόνιμα cookie ή cookies που δεν διαγράφονται αυτόματα αφού κλείσετε το πρόγραμμα περιήγησής σας.
Στην πραγματικότητα, οι εξαγορές λογαριασμών αποτελούν πολύ σοβαρό πρόβλημα με αυτόν τον τύπο κατάχρησης cookie, καθώς το Netflix δεν απαιτεί από εσάς να εισάγετε τον κωδικό πρόσβασής σας για να αποκτήσετε πρόσβαση στις ρυθμίσεις του λογαριασμού σας.
Ωστόσο, το εσωτερικό πείραμά μας δείχνει μόνο το μεγαλύτερο πρόβλημα. Φαίνεται ότι υπάρχει μια ιδιαίτερα αξιοσημείωτη αύξηση στη δραστηριότητα που σχετίζεται με την παράκαμψη της ασφάλειας λογαριασμού Netflix με χρήση cookie περιόδου λειτουργίας. Από την 1η Αυγούστου έως τις 26 Αυγούστου 2018, δεν βρήκαμε ιστότοπους που να έχουν ευρετηριαστεί από την Google για τον όρο 'cookies περιόδου λειτουργίας Netflix'.
Μόλις 12 μήνες αργότερα, και κατά την ίδια περίοδο αναζήτησης του 2019, βρήκαμε περίπου δώδεκα ιστότοπους που δημοσιεύουν ενεργά cookie περιόδου λειτουργίας χρήστη του Netflix και οδηγίες για τον τρόπο χρήσης τους. Αρκετοί χρησιμοποιούν επίσης λέξεις-κλειδιά όπως '100% λειτουργεί' και 'ενημερώνεται ανά ώρα' και με βάση την ανασκόπηση των ιστότοπων, πολλοί φαίνεται να ενημερώνουν τακτικά τη λίστα με τα cookie περιόδου λειτουργίας.
Εκτός αυτού του χρονικού πλαισίου αναζήτησης, εντοπίσαμε πάνω από δύο δωδεκάδες ιστότοπους με άρθρα που δημοσιεύτηκαν στα τέλη του 2018 έως τα τέλη Αυγούστου (όταν ολοκληρώσαμε την έρευνα) που προσφέρουν cookie Netflix και οδηγίες επεξεργασίας cookie. Οι περισσότεροι από αυτούς τους ιστότοπους μοιράζονται τον ίδιο καταχωρητή ιστότοπου, κάτι που μπορεί να υποδηλώνει κοινή ιδιοκτησία.
Έχει το Netflix μια νέα απειλή για την ασφάλεια στα χέρια του;
Το Netflix είναι μια γνωστή μάρκα για σχεδόν μια δεκαετία. Είναι απίθανο η πειρατεία περιόδων σύνδεσης ή ακόμη πιο συνηθισμένη κακή χρήση των cookies του Netflix είναι ιδιαίτερα νέα. Ωστόσο, προηγούμενες δραστηριότητες αεροπειρατείας και κοινής χρήσης λογαριασμών πιθανότατα έγιναν μέσω του σκοτεινού ιστού ή μέσω ιδιωτικών καναλιών επικοινωνίας μεταξύ των χάκερ.
Ωστόσο, φαίνεται ότι κάτι άλλαξε στα τέλη του 2018.
Ο αριθμός των ιστότοπων που ανταγωνίζονται για τη δημοσίευση ενημερωμένων cookie περιόδου λειτουργίας Netflix πολλαπλασιάστηκε τους τελευταίους 12 μήνες. Παρόλο που αυτοί οι ιστότοποι προσφέρουν αυτά τα cookies δωρεάν, κερδίζουν χρήματα από τις προσπάθειές τους με τις σελίδες χαμηλής προσπάθειας να στάζουν με διαφημίσεις στη σελίδα. Είναι πιθανό ορισμένοι από αυτούς τους ιστότοπους να φέρουν ακόμη και κακόβουλο λογισμικό ή να επιδιώκουν να κλέψουν cookies του Netflix με τον τύπο επιθέσεων δέσμης ενεργειών μεταξύ τοποθεσιών που αναφέρθηκαν προηγουμένως.
Επίσης, η αεροπειρατεία συνεδρίας αυτού του είδους δεν είναι κάτι καινούργιο, όπως υποδεικνύει το πρόβλημα Stresspaint του Facebook. Με βάση τα τρέχοντα σχέδια, σχεδόν οποιοσδήποτε ιστότοπος που χρησιμοποιεί μόνιμα cookies μπορεί να «χακαριστεί» μέσω κλεμμένων δεδομένων cookie.
Από την πλευρά του, το Netflix χρησιμοποιεί τα μέτρα ασφαλείας που απαιτούνται για να βοηθήσει στην προστασία των χρηστών. Οι διακομιστές του Netflix έχουν σχεδιαστεί για να δημιουργούν cookies περιόδου λειτουργίας με σημαίες ασφαλείας βιομηχανικών προτύπων, συμπεριλαμβανομένων των «HttpOnly», «Secure» και «SameSite». Με απλούς όρους:
- HttpOnlyεμποδίζει τον κακόβουλο κώδικα ιστότοπου να μοιράζεται δεδομένα cookie σε JavaScripts (συχνά μέσω επιθέσεων που ονομάζονται Έγχυση XSS ή δέσμη ενεργειών μεταξύ τοποθεσιών)
- Ασφαλήςαναγκάζει το πρόγραμμα περιήγησής σας να στέλνει το cookie μόνο μέσω HTTPS
- Ίδιος ιστότοποςδεν επιτρέπει την αποστολή του cookie σε διαφορετικό ιστότοπο
Αναλύοντας τα cookies που εντοπίσαμε μέσω αυτών των δωρεάν τοποθεσιών cookie του Netflix, διαπιστώσαμε ότι η εταιρεία χρησιμοποιεί όλα τα επί του παρόντος διαθέσιμα πρωτόκολλα προστασίας cookie:
Ωστόσο, είναι επίσης πιθανό να υπάρχει ένας ιός στη φύση που συλλέγει δεδομένα cookie χρηστών του Netflix. Ελαττώματα στην τρέχουσα ασφάλεια cookie μπορεί να επιτρέψει στους χάκερ να παρακάμψουν τις σημαίες HttpOnly και Secure, επιτρέποντας σε ορισμένες επιθέσεις Man-in-the-Middle να εξακολουθούν να λειτουργούν και να διαγράφουν δεδομένα από χρήστες του Netflix, ιδιαίτερα από αυτούς που μεταδίδονται μέσω δημόσιου Wi-Fi.
Τούτου λεχθέντος, η δέουσα επιμέλεια του Netflix αμαυρώνεται κάπως από τα μηνύματα από την εταιρεία ότι οι οικείοι χρήστες δεν έχουν καθόλου ανησυχίες σχετικά με τις επίμονες συνδέσεις. Εάν αποσυνδεθείτε από τον λογαριασμό σας Netflix σε ένα πρόγραμμα περιήγησης ιστού, για παράδειγμα, μπορεί να δείτε αυτό το μήνυμα στην οθόνη αποσύνδεσης:
Το Netflix δηλώνει ότι «Μόνο τα μέλη που χρησιμοποιούν κοινόχρηστο ή δημόσιο υπολογιστή πρέπει να τερματίζουν κάθε επίσκεψη στο Netflix χρησιμοποιώντας τον σύνδεσμο Έξοδος». Ωστόσο, σκεφτείτε το πολύ πραγματικό γεγονός ότι τα μόνιμα cookies του Netflix μπορούν να κλαπούν ή να χρησιμοποιηθούν κατάχρηση. Έχουμε δει ήδη στοιχεία για αυτό μέσω των προβλημάτων κακόβουλου λογισμικού του Facebook και των εργαστηριακών δοκιμών μας. Αυτή μπορεί να μην είναι η καλύτερη συμβουλή για να δώσει το Netflix στους χρήστες του, ακόμα κι αν είναι αλήθειαπλέοντης εποχής. Είναι περισσότερο θέμα αθέλωέναντι αχρειάζομαι, σε αυτήν την περίπτωση.
Οι χρήστες του Netflix δεν το κάνουν πάνταχρειάζομαινα αποσυνδεθείτε, αλλά σε ορισμένες περιπτώσεις, μπορεί πολύ καλάθέλωπρος την.
Πώς να ασφαλίσετε τα cookie του Netflix
Με δεκάδες εκατομμύρια χρήστες σε όλο τον κόσμο, είναι απίθανο ένα υψηλό ποσοστό των χρηστών του Netflix να έχουν κλέψει τα επίμονα cookies τους. Ωστόσο, όσοι έχουν επίγνωση της ασφάλειας μπορεί να θέλουν να λάβουν μερικά επιπλέον βήματα για να αποτρέψουν την εξαγορά λογαριασμών ή την κατάχρηση λογαριασμού.
Ελέγξτε το email σας για νέες συνδέσεις
Κάθε φορά που μια νέα συσκευή συνδέεται στον λογαριασμό σας στο Netflix, η υπηρεσία σάς στέλνει ένα email για να σας ενημερώσει. Ελέγχετε τακτικά το email σας και αναζητήστε ειδοποιήσεις σύνδεσης νέων συσκευών από το Netflix. Ελέγξτε τις λεπτομέρειες της ειδοποίησης και βεβαιωθείτε ότι η συσκευή και η τοποθεσία έχουν νόημα. Διαπιστώσαμε ότι θα λάβετε ένα νέο email σύνδεσης ακόμα και αν κάποιος αποκτήσει πρόσβαση στον λογαριασμό σας χρησιμοποιώντας κλεμμένα δεδομένα cookie.
Ελέγξτε το πρόσφατο ιστορικό ροής της συσκευής σας
Στις ρυθμίσεις του λογαριασμού σας Netflix, βρείτε την ενότητα με τίτλο 'Πρόσφατη δραστηριότητα ροής συσκευής'. Από εκεί, ελέγξτε την πιο πρόσφατη δραστηριότητα περιήγησης και αναζητήστε τυχόν συνδέσεις που μπορεί να είναι ασυνήθιστες. Η πρόσβαση από διευθύνσεις IP σε άλλες χώρες ή πολιτείες που δεν έχετε επισκεφτεί ποτέ πριν μπορεί να είναι μια κόκκινη σημαία. Λάβετε υπόψη ότι εάν έχετε μεταδώσει το Netflix μέσω ενός διακομιστή μεσολάβησης, όπως ένα VPN, ενδέχεται να δείτε διευθύνσεις IP ή τοποθεσίες που φαίνονται άγνωστες.
Αποσυνδεθείτε από όλες τις τρέχουσες συσκευές τακτικά
Μπορεί να είναι μια βραχυπρόθεσμη ταλαιπωρία, αλλά μπορείτε να αποτρέψετε την κατάχρηση λογαριασμού αποσυνδεόμενοι από όλες τις συσκευές τακτικά. Ευτυχώς, το Netflix προσφέρει μια εύχρηστη επιλογή στις ρυθμίσεις του λογαριασμού σας που θα αποσυνδεθεί αυτόματα από όλες τις συσκευές ταυτόχρονα. Όσο λιγότερες συσκευές έχετε με μόνιμες συνδέσεις στο Netflix, τόσο μικρότερη είναι η πιθανότητα κλοπής και κατάχρησης ενός cookie.
Χρησιμοποιήστε έναν ισχυρό κωδικό πρόσβασης για τον λογαριασμό σας στο Netflix
Αν και δεν θα σας προστατεύσει από επίμονη κλοπή και κατάχρηση cookie, εξακολουθεί να είναι σημαντικό να χρησιμοποιείτε και να διατηρείτε ισχυρούς, μοναδικούς κωδικούς πρόσβασης για τους λογαριασμούς σας. Χρησιμοποιήστε ένα πρόγραμμα δημιουργίας κωδικών πρόσβασης για να δημιουργήσετε κωδικούς πρόσβασης και χρησιμοποιήστε έναν ασφαλή διαχειριστή κωδικών πρόσβασης για να αποθηκεύσετε τους κωδικούς πρόσβασής σας για εύκολη πρόσβαση και αναφορά.
Εκτελέστε σάρωση ιών στις συσκευές σας και χρησιμοποιήστε ένα πρόγραμμα προστασίας από ιούς σε πραγματικό χρόνο
Εάν υποψιάζεστε ότι ο υπολογιστής σας ή άλλες συσκευές μπορεί να έχουν μολυνθεί, εκτελέστε ένα πρόγραμμα προστασίας από ιούς για να ελέγξετε για τυχόν κακόβουλο λογισμικό στο σύστημά σας. Δυστυχώς, δεν θα μπορείτε να εκτελέσετε σαρώσεις για ιούς σε συσκευές συνδεδεμένες με τηλεόραση ή έξυπνες τηλεοράσεις, αλλά η πιθανότητα να έχετε εγκαταστήσει ιούς σε αυτές τις συσκευές είναι μικρή.
Συνιστούμε επίσης να εγκαταστήσετε και να χρησιμοποιήσετε ένα εργαλείο προστασίας από ιούς σε πραγματικό χρόνο για την προστασία από μελλοντικές μολύνσεις. Και αν ανησυχείτε ιδιαίτερα για τις επιθέσεις MiTM, βεβαιωθείτε ότι προστατεύετε με κωδικό πρόσβασης το οικιακό σας δίκτυο WiFi με έναν ισχυρό κωδικό πρόσβασης και παρακολουθείτε τους χρήστες του οικιακού σας δικτύου για πιθανούς δωρεάν φορτωτές. Επίσης, ελαχιστοποιήστε τη ροή σας σε ιστότοπους που προστατεύονται με κωδικό πρόσβασης ή την πρόσβασή σας σε ιστότοπους όταν χρησιμοποιείτε δημόσιο WiFi ή χρησιμοποιήστε ένα VPN όταν χρησιμοποιείτε δημόσιο WiFi .
Αναβαθμίστε τις παλαιότερες συσκευές σας
Όπως σημείωσε ο Frank Downs της ISACA, οι παλαιότερες συσκευές αποτελούν σημαντική απειλή για την ασφάλεια, ειδικά για εφαρμογές όπως το Netflix που χρησιμοποιούν μόνιμες συνδέσεις. Εάν εξακολουθείτε να χρησιμοποιείτε παλαιότερες συσκευές, είναι πιθανώς καλύτερο να κάνετε αναβάθμιση.
Οι περισσότερες από τις δημοφιλείς συσκευές ροής που συνδέονται με τηλεόραση, όπως το Apple TV, το Roku και το Amazon Fire TV, προωθούν τακτικά ενημερώσεις λογισμικού στις συσκευές τους (ακόμη και πολλά από τα παλαιότερα μοντέλα τους). Ωστόσο, οι έξυπνες τηλεοράσεις είναι γνωστό ότι έχουν λιγότερο συχνές ενημερώσεις και μερικές φορές καθόλου ενημερώσεις για προηγούμενα μοντέλα. Ίσως είναι καλύτερα να χρησιμοποιήσετε μια συσκευή ροής συνδεδεμένη με τηλεόραση για το Netflix και άλλες υπηρεσίες για την τηλεόραση του σαλονιού ή του υπνοδωματίου σας.
Υπάρχει λύση για την επίμονη απειλή cookie;
Η τρέχουσα υποδομή του Διαδικτύου βασίζεται στην ταχύτητα και την ευκολία, και τα μόνιμα cookies αποτελούν αναπόσπαστο μέρος αυτού. Η ευκολία χρήσης βαρύνει την ασφάλεια και στην τρέχουσα κατάστασή τους, τα μόνιμα cookie έχουν σίγουρα ένα κενό ασφαλείας που μπορεί να είναι δύσκολο να ξεπεραστεί χωρίς κάποιες σημαντικές αλλαγές στον τρόπο κατασκευής των cookies.
Η Downs έχει μερικές συστάσεις για όσους θέλουν να εξασφαλίσουν καλύτερα τις διαδικτυακές τους δραστηριότητες. Το ένα είναι να χρησιμοποιήσετε Brave Browser , ένα πρόγραμμα περιήγησης ιστού που εστιάζει στην ασφάλεια και περιλαμβάνει πολλές λειτουργίες απορρήτου που βοηθούν στην αποτροπή παρακολούθησης και κακόβουλης δραστηριότητας ιστού.
Οι χρήστες του Netflix μπορεί επίσης να θέλουν να σκεφτούν προσεκτικά τις δικές τους συμπεριφορές περιήγησης στον Ιστό. «Οι χρήστες θα πρέπει να παρακολουθούν οτιδήποτε φαίνεται ύποπτο και να το σκεφτούν δύο φορές πριν κάνουν κλικ», εξήγησε ο Downs.
Και για εκείνους τους χρήστες που θέλουν το μέγιστο ποσό ασφάλειας όταν χρησιμοποιούν το Netflix και οποιονδήποτε άλλο ιστότοπο, υπάρχει πάντα η πυρηνική επιλογή: αποκλεισμός σεναρίου . «Ωστόσο», είπε ο Downs, «αυτό θα υποβαθμίσει την διαδικτυακή εμπειρία και οι χρήστες θα πρέπει να είναι έτοιμοι για αυτό».
Τα κλεμμένα cookie του Netflix διευκολύνουν τους χάκερ να καταλάβουν πλήρως τον λογαριασμό ενός χρήστη. Επιπλέον, οποιοσδήποτε χρησιμοποιεί τον λογαριασμό κάποιου άλλου στο Netflix θα μπορούσε να συγκεντρώσει αρκετές πληροφορίες από τις ρυθμίσεις ενός χρήστη για να εισβάλει σε άλλους προσωπικούς λογαριασμούς.
Μετά τη δοκιμή, όχι μόνο επιβεβαιώσαμε ότι αυτό το επίμονο τέχνασμα cookie λειτουργεί, αλλά ότι τα cookies μπορούν να κλαπούν. Επίσης, υπάρχουν εκατομμύρια ιστότοποι εκεί έξω που θα μπορούσαν να χρησιμοποιηθούν για την κλοπή δεδομένων cookie του Netflix. Παρόλο που οι ιστότοποι που προσφέρουν cookie Netflix ισχυρίζονται ότι το κάνουν νόμιμα και επιβεβαιώσαμε ότι τουλάχιστον ορισμένοι προσφέρουν cookie που σχετίζονται με δωρεάν δοκιμές, τουλάχιστον παραβιάζουν τους Όρους Παροχής Υπηρεσιών του Netflix και, χειρότερα, θα μπορούσαν να συμμετάσχουν ή να βοηθήσουν στη τροφοδοσία του λογαριασμού Netflix πειρατεία.
Ο Aaron Phillips συνέβαλε σε αυτή την ιστορία.