論文の概要: User Profiles: The Achilles' Heel of Web Browsers

• arxiv url: http://arxiv.org/abs/2504.17692v1
• Date: Thu, 24 Apr 2025 16:01:48 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-05-02 19:15:53.451525
• Title: User Profiles: The Achilles' Heel of Web Browsers
• Title（参考訳）: ユーザープロフィール:ウェブブラウザのアキレス腱
• Authors: Dolière Francis Somé, Moaz Airan, Zakir Durumeric, Cristian-Alexandru Staicu,
• Abstract要約: Tor Browserを除いて、現代のすべてのブラウザは、機密データをほとんど、あるいは全く、完全性や機密性を管理することなく、ホームディレクトリに格納している。 パスワードやクッキーの暗号化といったセキュリティ対策は、簡単にバイパスできることを示す。 HTTPSは、カスタムの潜在的に悪意のあるルート証明書をデプロイすることで、完全にバイパスすることができる。
• 参考スコア（独自算出の注目度）: 12.5263811476743
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Web browsers provide the security foundation for our online experiences. Significant research has been done into the security of browsers themselves, but relatively little investigation has been done into how they interact with the operating system or the file system. In this work, we provide the first systematic security study of browser profiles, the on-disk persistence layer of browsers, used for storing everything from users' authentication cookies and browser extensions to certificate trust decisions and device permissions. We show that, except for the Tor Browser, all modern browsers store sensitive data in home directories with little to no integrity or confidentiality controls. We show that security measures like password and cookie encryption can be easily bypassed. In addition, HTTPS can be sidestepped entirely by deploying malicious root certificates within users' browser profiles. The Public Key Infrastructure (PKI), the backbone of the secure Web. HTTPS can be fully bypassed with the deployment of custom potentially malicious root certificates. More worryingly, we show how these powerful attacks can be fully mounted directly from web browsers themselves, through the File System Access API, a recent feature added by Chromium browsers that enables a website to directly manipulate a user's file system via JavaScript. In a series of case studies, we demonstrate how an attacker can install malicious browser extensions, inject additional root certificates, hijack HTTPS traffic, and enable websites to access hardware devices like the camera and GPS. Based on our findings, we argue that researchers and browser vendors need to develop and deploy more secure mechanisms for protecting users' browser data against file system attackers.
• Abstract（参考訳）: Webブラウザは、私たちのオンライン体験のセキュリティ基盤を提供します。 ブラウザ自体のセキュリティに関する重要な研究は行われているが、オペレーティングシステムやファイルシステムとのインタラクションに関する調査はほとんど行われていない。 本研究では,ユーザの認証クッキーやブラウザエクステンションから,認証の信頼性決定やデバイス権限に至るまで,あらゆるものを格納するために使用されるブラウザのディスク上の永続レイヤであるブラウザプロファイルに関する,最初のシステマティックなセキュリティ調査を行う。 Tor Browserを除いて、現代のすべてのブラウザは、機密データをほとんど、あるいは全く、完全性や機密性を管理することなく、ホームディレクトリに格納している。 パスワードやクッキーの暗号化といったセキュリティ対策は、簡単にバイパスできることを示す。 さらに、ユーザのブラウザプロファイルに悪意のあるルート証明書をデプロイすることで、HTTPSを完全に回避することができる。 Public Key Infrastructure (PKI) - セキュアなWebのバックボーン。 HTTPSは、カスタムの潜在的に悪意のあるルート証明書をデプロイすることで、完全にバイパスすることができる。 このFile System Access APIはChromiumブラウザが最近追加した機能で、WebサイトがJavaScript経由でユーザのファイルシステムを直接操作できる。 一連のケーススタディでは、攻撃者が悪意のあるブラウザエクステンションをインストールし、ルート証明書を追加注入し、HTTPSトラフィックをハイジャックし、WebサイトがカメラやGPSなどのハードウェアデバイスにアクセスできるようにする方法を実証している。 この結果から,研究者やブラウザベンダは,ユーザのブラウザデータをファイルシステム攻撃者から保護するための,よりセキュアなメカニズムを開発し,展開する必要があると論じている。

関連論文リスト

• A Study on Malicious Browser Extensions in 2025 [0.3749861135832073]
  本稿は,Mozilla Firefox と Chrome を中心に,悪意あるブラウザエクステンションの2025 年の進化する脅威状況について考察する。 私たちの研究はFirefoxとChromeのセキュリティメカニズムを回避し、悪意のあるエクステンションをMozilla Add-ons StoreとChrome Web Store内で開発、公開、実行することが可能であることを実証しました。
  論文  参考訳（メタデータ） (2025-03-06T10:24:27Z)
• How Unique is Whose Web Browser? The role of demographics in browser fingerprinting among US users [50.699390248359265]
  ブラウザのフィンガープリントは、クッキーを使わずとも、Web上のユーザを識別し、追跡するために利用できる。 この技術と結果として生じるプライバシーリスクは10年以上にわたって研究されてきた。 我々は、さらなる研究を可能にするファースト・オブ・ザ・キンド・データセットを提供する。
  論文  参考訳（メタデータ） (2024-10-09T14:51:58Z)
• Stealing Trust: Unraveling Blind Message Attacks in Web3 Authentication [6.338839764436795]
  本稿では,Web3認証プロセスの脆弱性を調査し,ブラインドメッセージ攻撃と呼ばれる新たなタイプの攻撃を提案する。 盲目的のメッセージ攻撃では、攻撃者はユーザーがメッセージのソースを検証できないことを利用して、ターゲットアプリケーションから盲目的にメッセージに署名するようユーザを騙します。 我々は,Web3認証関連APIと対話して脆弱性を特定する動的検出ツールであるWeb3AuthCheckerを開発した。
  論文  参考訳（メタデータ） (2024-06-01T18:19:47Z)
• Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
  顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。 最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
  論文  参考訳（メタデータ） (2024-05-21T13:34:23Z)
• EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
  フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。 FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。 ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
  論文  参考訳（メタデータ） (2024-05-21T06:14:49Z)
• Towards Browser Controls to Protect Cookies from Malicious Extensions [5.445001663133085]
  クッキーは、それらを盗み、ユーザーアカウントに不正アクセスしようとする攻撃の貴重な標的だ。 拡張は、複数の特権APIにアクセスするサードパーティのHTML/JavaScriptアドオンであり、一度に複数のWebサイトで実行できる。 悪質なエクステンションからクッキーを保護する2つの新しいクッキー属性に基づいたブラウザ制御を提案する。
  論文  参考訳（メタデータ） (2024-05-10T22:04:56Z)
• adF: A Novel System for Measuring Web Fingerprinting through Ads [0.3499870393443268]
  adFは広告に挿入されたコードから測定を行う。 デスクトップ端末の66%、モバイルデバイスの40%は、当社のWeb指紋認証システムで独自に指紋認証できると見積もっています。 ウェブフィンガープリントに対抗するために,これらの属性のブラウザによるレポートをブロックするシンプルなソリューションであるShieldFを提案する。
  論文  参考訳（メタデータ） (2023-11-15T08:30:50Z)
• Characterizing Browser Fingerprinting and its Mitigations [0.0]
  この研究は、ブラウザのフィンガープリントという、トラッキング技術の1つを探求している。 ブラウザのフィンガープリントの仕組み、それがどの程度普及しているか、どんな防御効果を軽減できるか、などについて詳述する。
  論文  参考訳（メタデータ） (2023-10-12T20:31:24Z)
• SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
  我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。 SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。 我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
  論文  参考訳（メタデータ） (2023-09-26T08:11:38Z)
• Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields [22.717150034358948]
  ウェブブラウザにおけるテキスト入力フィールドのセキュリティに関する総合的な分析を行う。 ブラウザの粗粒度パーミッションモデルが2つのセキュリティ設計原則に違反していることが分かりました。 入力フィールドに2つの脆弱性を発見した。
  論文  参考訳（メタデータ） (2023-08-30T21:02:48Z)
• An Embarrassingly Simple Backdoor Attack on Self-supervised Learning [52.28670953101126]
  自己教師付き学習(SSL)は、ラベルに頼ることなく、複雑なデータの高品質な表現を学習することができる。 SSLのバックドア攻撃に対する脆弱性について検討する。
  論文  参考訳（メタデータ） (2022-10-13T20:39:21Z)
• Certifiers Make Neural Networks Vulnerable to Availability Attacks [70.69104148250614]
  私たちは初めて、逆転戦略が敵によって意図的に引き起こされる可能性があることを示します。 いくつかの入力や摂動のために自然に発生する障害に加えて、敵は故意にフォールバックを誘発するために訓練時間攻撃を使用することができる。 我々は2つの新しいアベイラビリティーアタックを設計し、これらの脅威の実用的妥当性を示す。
  論文  参考訳（メタデータ） (2021-08-25T15:49:10Z)
• Practical Detection of Trojan Neural Networks: Data-Limited and Data-Free Cases [87.69818690239627]
  本稿では,データスカース方式におけるトロイの木馬ネットワーク(トロイの木馬網)検出の問題点について検討する。 本稿では,データ限定型TrojanNet検出器(TND)を提案する。 さらに,データサンプルにアクセスせずにTrojanNetを検出できるデータフリーTNDを提案する。
  論文  参考訳（メタデータ） (2020-07-31T02:00:38Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。