Descubrir por fuerza bruta el nombre real de usuarios de macOS mediante mDNS a través del navegador

 (fingerprint.com)
3 puntos por GN⁺ 2023-07-14 | 1 comentarios | Compartir por WhatsApp
  • Este artículo explora una técnica para averiguar sin permiso el nombre de usuarios de macOS.
  • La técnica consiste en probar por fuerza bruta listas populares de nombres por género para detectar el nombre del usuario.
  • El protocolo mDNS se usa para registrar, descubrir o anunciar nombres de dispositivos en una red local.
  • Los dispositivos de Apple exponen el nombre del usuario en el nombre de host local, lo que puede aprovecharse con una técnica de fuerza bruta.
  • El nombre de host puede resolverse desde el navegador mediante evasión basada en temporización.
  • El nombre de host local predeterminado de macOS incluye el nombre del usuario y el nombre del dispositivo.
  • El ataque puede ser más eficiente si limita la búsqueda a una sola configuración regional, un solo dispositivo y los 50 nombres más comunes de esa región.
  • Una demo de prueba de concepto logró predecir correctamente el nombre en el 65% de los casos.
  • Este ataque tiene limitaciones y puede detectarse fácilmente en las herramientas de desarrollo del navegador.
  • El artículo explora los límites de la privacidad en internet y destaca el potencial de técnicas no tradicionales de invasión de la privacidad.
  • La técnica de descubrimiento con mDNS puede usarse para detectar dispositivos en redes locales, incluidas impresoras, smart TVs y dispositivos IoT.
  • Esta técnica también puede aplicarse a iPhone y iPad con ciertas funciones activadas.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-07-14
Comentarios en Hacker News
  • El artículo está bien escrito, es interesante y tiene un tono no alarmista.
  • Little Snitch se menciona como una herramienta que puede bloquear solicitudes de red y requiere permiso explícito.
  • De forma predeterminada, herramientas como Little Snitch pueden permitir silenciosamente solicitudes a la red local.
  • El artículo explica cómo un navegador puede usar mDNS para averiguar por fuerza bruta el nombre real de un usuario de macOS.
  • El artículo es accesible y fácil de entender incluso para quienes no están familiarizados con DNS o JavaScript.
  • El artículo destaca los riesgos potenciales de los ataques de temporización y del escaneo de puertos a través del navegador.
  • La diferencia de tiempo entre una dirección válida y una no válida es sorprendente.
  • La elección del nombre de host en macOS genera preocupaciones sobre la privacidad.
  • Desactivar JavaScript puede afectar la experiencia final del usuario.
  • El artículo presenta una prueba de concepto y contramedidas para atraer a los atacantes.
  • Los comentaristas elogian la calidad del artículo y sugieren formas de hacer cosas divertidas con los atacantes.
  • Algunos comentaristas consideran que la elección del nombre de host del dispositivo en macOS es una característica y no un defecto.