Firefox spoofing

Publié le par Sabina

Voivi un billet sur les possibilités de "maquiller" Firefox pour réduire les informations exploitables en vue d'attaquer le navigateur via une faille "zero day". Autant que je sache (n'hésitez pas à compléter le cas échéant), il n'est pas possible de transformer la signature numérique d'un navigateur par un autre totalement différent. Il sera, par exemple, possible de faire passer Chrome pour Chromium et vice-versa, mais pas de faire passer Chrome pour Firefox ou Internet Explorer.

En revanche, il sera possible de faire passer un Firefox Linux pour un Firefox Windows, voire même de faire passer un Firefox Linux à jour pour un Firefox Windows out-daté, ce qui pourrait s'avérer utile pour réduire les possibilités de faire exécuter du code arbitraire à distance sur une plate-forme différente de celle visée et/ou pour obtenir une première tentative d'attaque échouée sur une faille déjà corrigée sur une version plus récente. Cela continue donc à s'inscrire dans une logique de "Reverse Social Engineering", là où il s'agit de fausser les données susceptibles d'être utilisées par un attaquant, soit pour le faire échouer, soit pour le faire se dévoiler.

Autant que je sache, les add-on disponibles pour Firefox ne permettent pas de spoofer complètement le navigateur et le système d'exploitation. Certains ne modifient que le "user-agent" string via "general.useragent.override", ce qui permet de récupérer toutes les informations sur le système d'exploitation via appversion, buildID, OSCPU, et platform et ceci, sans compter sur les informations disponibles via Flash ou encore le canvas fingerprint (utiliser l'add-on Canvas Blocker ou voir encore les modifications concernant le TCP/IP OS fingerprinting). D'autres modifient ces données mais utilisent une BuildID repérable. Voici un exemple de données à modifier dans Firefox, via "about:config", pour Firefox 43 sur Windows XP :

general.appversion.override : "5.0 (Windows)"
general.buildID.override : "20151216175450"
general.oscpu.override : "Windows NT 5.1"
general.platform.override : "Win32"
general.useragent.override : "Mozilla/5.0 (Windows NT 5.1; rv:43.0) Gecko/20100101 Firefox/43.0"

Il est également nécessaire, dans ces conditions, de désactiver les différents Plugins, dont Flash, d'autant plus que de plus en plus de sites utilisent désormais le HTML5, pour éviter, dans un premier temps, de bourrer votre navigateur de failles potentielles, et dans un deuxième temps, d'éviter toutes les fuites d'informations que Flash permet. Si cela est nécessaire, il y a toujours la possibilité de créer un autre profil Firefox pour utiliser Flash exceptionnellement sur certains sites de confiance.

Un autre add-on à prendre en considération est "No ressource URI leak".

Cet article étant limité au Reverse Social Engineering et appliqué à Firefox, je ne discuterai pas ici de la nécessité d'utiliser NoScript et je n'irai pas plus loin dans les modifications à apporter pour la protection de la vie privé et l'anonymat sur Internet.

 

Publié dans Social Engineering, Browser

Commenter cet article