on the privacy of private browsing
play

On the Privacy of Private Browsing Kiavash Satvat, Ma8 - PowerPoint PPT Presentation

Sep 09, 2023 •787 likes •996 views

On the Privacy of Private Browsing Kiavash Satvat, Ma8 Forshaw, Feng Hao, Ehsan Toreini Newcastle University DPM13 IntroducGon 2005, Safari first

  1. On ¡the ¡Privacy ¡of ¡Private ¡Browsing ¡ Kiavash ¡Satvat, ¡Ma8 ¡Forshaw, ¡Feng ¡Hao, ¡Ehsan ¡Toreini ¡ ¡ Newcastle ¡University ¡ ¡ DPM’13 ¡

  2. IntroducGon ¡ • 2005, ¡Safari ¡first ¡introduced ¡private ¡browsing ¡ • Today, ¡private ¡browsing ¡has ¡become ¡an ¡ integrated ¡feature ¡in ¡all ¡major ¡browsers ¡ • How ¡many ¡people ¡use ¡it ¡in ¡the ¡real ¡world? ¡ – 19% ¡based ¡on ¡a ¡survey ¡(Aggarwal ¡et ¡al, ¡2010) ¡ – ¡2.4 ¡billion ¡Internet ¡users ¡(world ¡stat, ¡2012) ¡ – Roughly, ¡450 ¡millions ¡users ¡of ¡private ¡browsing ¡ • How ¡secure ¡is ¡private ¡browsing? ¡

  3. Threat ¡model ¡ • First, ¡need ¡to ¡define ¡what ¡is ¡meant ¡by ¡“secure” ¡ • Local ¡a8acker ¡ – Capability: ¡full ¡physical ¡access ¡to ¡the ¡computer ¡a_er ¡ private ¡session, ¡but ¡not ¡before ¡ – Goal: ¡discover ¡any ¡sensiGve ¡informaGon ¡related ¡to ¡the ¡ private ¡session ¡ • Remote ¡a8acker ¡ – Capability: ¡able ¡to ¡engage ¡with ¡user ¡through ¡h8p ¡ (e.g., ¡news ¡website) ¡ – Goal: ¡discover ¡if ¡the ¡user ¡is ¡in ¡the ¡private ¡session ¡

  4. Summary ¡of ¡a8acks ¡ • * ¡new ¡results ¡discovered ¡by ¡our ¡work ¡ • We ¡will ¡select ¡only ¡a ¡few ¡a8acks ¡to ¡present ¡here ¡

  5. Local ¡a8ack ¡– ¡memory ¡inspecGon ¡ • Artefacts ¡about ¡private ¡browsing ¡sca8ered ¡ in ¡memory ¡even ¡a_er ¡the ¡browser ¡is ¡closed ¡

  6. SQLite ¡Database ¡ • SQLite: ¡an ¡open ¡source ¡database ¡used ¡by ¡ Firefox, ¡Chrome ¡and ¡Safari ¡to ¡store ¡user ¡ profile ¡ • In ¡normal ¡cases, ¡it ¡seems ¡all ¡browsers ¡have ¡ removed ¡private ¡browsing ¡records ¡ successfully ¡ • However, ¡it ¡is ¡essenGal ¡to ¡also ¡test ¡edge ¡cases: ¡ – When ¡the ¡browser ¡crashes ¡ – When ¡the ¡user ¡adds ¡a ¡bookmark ¡

  7. When ¡the ¡browser ¡crashes ¡ • May ¡happen ¡due ¡to ¡overload, ¡manual ¡terminaGon ¡etc ¡ • Firefox ¡(minor) ¡ – WAL ¡files ¡le_ ¡on ¡disk ¡ – Indicate ¡occurrence ¡of ¡private ¡browsing ¡and ¡Gmes ¡ • Chrome ¡(minor) ¡ Journal ¡files ¡le_ ¡on ¡disk ¡ – Indicate ¡occurrence ¡of ¡private ¡browsing ¡and ¡Gme ¡ – Safari ¡(serious) ¡ • Doesn’t ¡use ¡in-­‑memory ¡SQLite ¡ – Inserts ¡records ¡of ¡private ¡browsing ¡and ¡deletes ¡later ¡ – But ¡in ¡case ¡of ¡crash, ¡private ¡browsing ¡records ¡will ¡persist ¡ ¡ –

  8. Adding ¡a ¡bookmark ¡(Firefox) ¡ Moz_bookmarks ¡ ¡ (table) ¡ Moz_places ¡ ¡ (table) ¡ Empty ¡Gtle ¡and ¡last_visit_date ¡

  9. Adding ¡a ¡bookmark ¡(Chrome) ¡ Vist_count ¡= ¡0 ¡ Hidden ¡= ¡1 ¡

  10. Adding ¡a ¡bookmark ¡(Safari) ¡ • (serious) ¡Once ¡the ¡user ¡adds ¡one ¡bookmark, ¡all ¡websites ¡visited ¡in ¡ private ¡mode ¡will ¡persist ¡in ¡the ¡database. ¡ • We ¡filed ¡a ¡bug ¡report ¡(#14685058) ¡ – 12/08 ¡(Apple): ¡“Engineering ¡has ¡determined ¡that ¡this ¡is ¡not ¡to ¡be ¡ fixed.” ¡ – 13/08, ¡we ¡asked ¡Apple ¡to ¡clarify ¡the ¡decision. ¡ – 18/08 ¡(Apple): ¡“A_er ¡much ¡deliberaGon, ¡engineering ¡has ¡removed ¡ this ¡feature.” ¡

  11. Browser ¡extensions ¡ • Browser ¡extensions ¡pose ¡a ¡realisGc ¡threat ¡to ¡ break ¡privacy ¡of ¡private ¡browsing. ¡ • We ¡tested ¡four ¡latest ¡browsers ¡in ¡2013 ¡ – Firefox: ¡extension ¡enabled ¡by ¡default ¡(vulnerable) ¡ – Safari: ¡extension ¡enabled ¡by ¡default ¡(vulnerable) ¡ – Chrome: ¡extension ¡disabled ¡by ¡default ¡(good) ¡ – IE: ¡extensions ¡disabled ¡by ¡default ¡(good) ¡

  12. Firefox ¡extension ¡(proof ¡of ¡concept) ¡ • Records ¡all ¡user ¡acGviGes ¡in ¡private ¡session ¡ • Then ¡sends ¡to ¡a ¡remote ¡server ¡

  13. Addressing ¡the ¡threat ¡of ¡extensions ¡ • One ¡straighporward ¡soluGon ¡is ¡to ¡disable ¡ extensions ¡by ¡default ¡in ¡the ¡private ¡mode ¡ • Adopted ¡by ¡Google ¡Chrome ¡and ¡Microso_ ¡IE ¡ • However, ¡we ¡sGll ¡need ¡to ¡be ¡careful. ¡

  14. Cross ¡mode ¡interference ¡ • Chrome ¡allows ¡two ¡modes ¡to ¡run ¡in ¡parallel ¡ – Normal ¡mode ¡window: ¡extension ¡enabled ¡ – Private ¡mode ¡window: ¡extension ¡disabled ¡ • However, ¡since ¡the ¡two ¡windows ¡share ¡some ¡ common ¡resources ¡ • A8acker ¡may ¡exploit ¡cross ¡mode ¡interference ¡

  15. Example ¡of ¡cross ¡mode ¡interference ¡ • Our ¡suggested ¡countermeasure: ¡always ¡run ¡in ¡a ¡ single ¡mode ¡

  16. Remote ¡a8acks ¡ • Goal ¡of ¡a8ack: ¡remote ¡website ¡wishes ¡to ¡find ¡ out ¡if ¡the ¡user ¡is ¡in ¡the ¡private ¡mode. ¡ • E.g., ¡if ¡the ¡user ¡is ¡in ¡the ¡private ¡mode, ¡remote ¡ website ¡may ¡push ¡more ¡adult-­‑oriented ¡ content ¡or ¡adverGsement. ¡ • Hence, ¡we ¡consider ¡ the ¡fact ¡of ¡using ¡private ¡ browsing ¡a ¡privacy ¡feature ¡itself . ¡

  17. Example: ¡cookie ¡Gming ¡a8ack ¡ • The ¡Gme ¡it ¡takes ¡to ¡write ¡cookies ¡is ¡different ¡ between ¡the ¡usual ¡and ¡private ¡modes. ¡ • We ¡conducted ¡extensive ¡experiments ¡to ¡ collect ¡data. ¡

  18. Results ¡(box ¡plots) ¡ • With ¡the ¡excepGon ¡of ¡IE, ¡the ¡Gming ¡difference ¡ between ¡the ¡two ¡modes ¡is ¡significant. ¡

  19. Conclusion ¡ • Is ¡private ¡browsing ¡private? ¡ • We ¡took ¡a ¡forensic ¡approach ¡ – Defined ¡a ¡threat ¡model ¡to ¡define ¡“security” ¡ – Evaluated ¡against ¡local/remote ¡a8acks ¡ – Validated ¡all ¡previously ¡known ¡a8acks ¡ – Discovered ¡several ¡new ¡a8acks ¡ • For ¡further ¡details ¡ – See ¡the ¡paper ¡and ¡also ¡open ¡source ¡code ¡

Recommend

and Privacy Protection Xianyi Gao*, Yulong Yang*, Huiqing Fu*, Janne Lindqvist*, Yang Wang+

and Privacy Protection Xianyi Gao*, Yulong Yang*, Huiqing Fu*, Janne Lindqvist*, Yang Wang+

Private Browsing: an Inquiry on Usability and Privacy Protection Xianyi Gao*, Yulong Yang*, Huiqing Fu*, Janne Lindqvist*, Yang Wang+ *Rutgers University +Syracuse University Published in WPES 2014 What is private browsing? Introduced in

632 views • 21 slides
UCognito: Private Browsing without Tears Meng Xu, Yeongjin Yang, Xinyu Xing, Taesoo Kim, Wenke

UCognito: Private Browsing without Tears Meng Xu, Yeongjin Yang, Xinyu Xing, Taesoo Kim, Wenke

UCognito: Private Browsing without Tears Meng Xu, Yeongjin Yang, Xinyu Xing, Taesoo Kim, Wenke Lee Georgia Institute of Technology 1 Private Browsing Mode Private Browsing Incognito Mode Guest Mode InPrivate Private Window 2 Private

645 views • 46 slides
An Analysis of Private Browsing Modes in Modern Browsers

An Analysis of Private Browsing Modes in Modern Browsers

Stanford Computer Security Lab An Analysis of Private Browsing Modes in Modern Browsers Gaurav Aggarwal, Elie Bursztein, Collin Jackson, Dan Boneh Usenix

653 views • 40 slides
Google Safe Browsing: Privacy and Security Amrit Kumar Univ. de Grenoble Alpes & Privatics

Google Safe Browsing: Privacy and Security Amrit Kumar Univ. de Grenoble Alpes & Privatics

Google Safe Browsing: Privacy and Security Amrit Kumar Univ. de Grenoble Alpes & Privatics team, INRIA June 4, 2015 Kumar (Univ. de Grenoble Alpes) Google Safe Browsing June 4, 2015 1 Outline Google Safe Browsing 1 Privacy 2

766 views • 38 slides
Models for Models for Retrieval and Browsing Retrieval and Browsing - Structural Models and

Models for Models for Retrieval and Browsing Retrieval and Browsing - Structural Models and

Models for Models for Retrieval and Browsing Retrieval and Browsing - Structural Models and Browsing Berlin Chen 2004 Reference : 1. Modern Information Retrieval , chapter 2 Taxonomy of Classic IR Models Set Theoretic Fuzzy Extended Boolean

837 views • 29 slides
Your Secrets Are Safe : How Browsers Explanations Impact Misconceptions About Private Browsing

Your Secrets Are Safe : How Browsers Explanations Impact Misconceptions About Private Browsing

Your Secrets Are Safe : How Browsers Explanations Impact Misconceptions About Private Browsing Mode Yuxi Wu, Panya Gupta, Miranda Wei, Yasemin Acar, Sascha Fahl, Blase Ur https://FancyWines.com 2 Yuxi Wu, Miranda Wei | Your Secrets Are

851 views • 51 slides
Clear Chrome Browsing Data 1. Click on the 3 dots on the Chrome Browser and select Settings 2.

Clear Chrome Browsing Data 1. Click on the 3 dots on the Chrome Browser and select Settings 2.

Clear Chrome Browsing Data 1. Click on the 3 dots on the Chrome Browser and select Settings 2. Scroll down to Privacy and security and click on Clear browsing data 3. Select the time frame, then Clear data Google Meet Grid View Issues If you are

297 views • 10 slides
Performance Metrics for Web Browsing draft fan ippm web metrics 00 Peng Fan

Performance Metrics for Web Browsing draft fan ippm web metrics 00 Peng Fan

Performance Metrics for Web Browsing draft fan ippm web metrics 00 Peng Fan Motivation Web browsing is a basic internet service, with a large population of users and proportion of traffic Understanding web browsing

578 views • 10 slides
Models for Models for Retrieval and Browsing Retrieval and Browsing - Fuzzy Set, Extended

Models for Models for Retrieval and Browsing Retrieval and Browsing - Fuzzy Set, Extended

Models for Models for Retrieval and Browsing Retrieval and Browsing - Fuzzy Set, Extended Boolean, Generalized Vector Space Models Berlin Chen 2004 Reference: 1. Modern Information Retrieval . Chapter 2 Taxonomy of Classic IR Models Set

511 views • 30 slides
The Price of Privacy In Untrusted Recommendation Engines Siddhartha Banerjee, Nidhi Hegde &

The Price of Privacy In Untrusted Recommendation Engines Siddhartha Banerjee, Nidhi Hegde &

The Price of Privacy In Untrusted Recommendation Engines Siddhartha Banerjee, Nidhi Hegde & Laurent Massouli UT Austin Technicolor Privacy efficiency trade-offs q Google & FaceBook track online browsing behaviour q Apple

610 views • 27 slides
Secure Browsing and Email Web Browsing with HTTPS Secure Email with OpenPGP Organised by Steven

Secure Browsing and Email Web Browsing with HTTPS Secure Email with OpenPGP Organised by Steven

Free Technology Workshop Secure Browsing and Email Web Browsing with HTTPS Secure Email with OpenPGP Organised by Steven Gordon Room RS309 9am - 12noon Friday 27 June 2014 http://ict.siit.tu.ac.th/moodle/ Adresses Local copies of

667 views • 19 slides
Forced/forceful browsing sws2 1 Forced browsing (not in book!) Supplying a URL directly

Forced/forceful browsing sws2 1 Forced browsing (not in book!) Supplying a URL directly

Software and Web Security 2 Forced/forceful browsing sws2 1 Forced browsing (not in book!) Supplying a URL directly (forcing the URL) rather than by accessing it by following links from other pages Modify (numerical) value in known

1.16k views • 38 slides
Participant Privacy Cannot be Ensured Survey Results are Not Safe and Private "What two

Participant Privacy Cannot be Ensured Survey Results are Not Safe and Private "What two

Participant Privacy Cannot be Ensured Survey Results are Not Safe and Private "What two people know is not private.". Any ranked Centralized structures store user profile data on private officer with a centralized server architecture

330 views • 18 slides
Privacy index metrics in digital communication Showing Caliopen's users how public their private

Privacy index metrics in digital communication Showing Caliopen's users how public their private

Privacy index metrics in digital communication Showing Caliopen's users how public their private messages are. Laurent Chemla, project owner Stanislas SABATIER, backend developer Caliopen handles all of your private exchanges Private

933 views • 9 slides
The Evolving Architecture of the Web Nick Sullivan Head of Cryptography CFSSL Universal SSL

The Evolving Architecture of the Web Nick Sullivan Head of Cryptography CFSSL Universal SSL

The Evolving Architecture of the Web Nick Sullivan Head of Cryptography CFSSL Universal SSL Keyless SSL Privacy Pass Geo Key Manager Recently Standards work TLS 1.3 C on peting Goals make browsing more performant private HTTP DNS

789 views • 77 slides
CS573 Data Privacy and Security Location Privacy Location Privacy Yonghui (Yohu) Xiao htt //

CS573 Data Privacy and Security Location Privacy Location Privacy Yonghui (Yohu) Xiao htt //

CS573 Data Privacy and Security Location Privacy Location Privacy Yonghui (Yohu) Xiao htt // http://yxiao.info i i f Outline Outline What is Location Privacy Basic Techniques Private Information Retrieval Probabilistic

415 views • 24 slides
The Concept of Privacy Introduction to Privacy and the GDPR Simone Fischer-Hbner CC-BY-4.0

The Concept of Privacy Introduction to Privacy and the GDPR Simone Fischer-Hbner CC-BY-4.0

The Concept of Privacy Introduction to Privacy and the GDPR Simone Fischer-Hbner CC-BY-4.0 Early History of Privacy Aristotle: public sphere of politics ( polis ) vs. private/domestic sphere of the family ( oikos) Long practiced

583 views • 8 slides
Privacy & Data Protection Laws Overview and History Introduction to Privacy and the GDPR

Privacy & Data Protection Laws Overview and History Introduction to Privacy and the GDPR

Privacy & Data Protection Laws Overview and History Introduction to Privacy and the GDPR Simone Fischer-Hbner CC-BY-4.0 Privacy Legislation - History 1950 Art. 8 ECHR: Everyone has the right to respect for his private and family

413 views • 4 slides
Protecting Your Privacy Training Module Introduction How private is your Internet experience?

Protecting Your Privacy Training Module Introduction How private is your Internet experience?

Welcome to the Protecting Your Privacy Training Module Introduction How private is your Internet experience? Introduction Laws concerning the privacy of 1 personal information vary from country to country. Many of the worlds legal

576 views • 26 slides
Private Equilibrium Computation for Analyst Privacy ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??

Private Equilibrium Computation for Analyst Privacy ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??

Private Equilibrium Computation for Analyst Privacy ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Justin Hsu, Aaron Roth, 1 Jonathan Ullman 2 1 University of Pennsylvania 2 Harvard University June 2, 2013 A market survey scenario A market

1.01k views • 98 slides
Differential Privacy and Applications Marco Gaboardi Boston University Data Private

Differential Privacy and Applications Marco Gaboardi Boston University Data Private

Differential Privacy and Applications Marco Gaboardi Boston University Data Private Queries? Private Queries? medical correlation? y r e u q r e w s n a Private Queries? Does Joe have cancer? query a n s w e r

1.03k views • 84 slides
Web Browsing Topics Physical Exchange of Web Web Browsing 101 Technology Information

Web Browsing Topics Physical Exchange of Web Web Browsing 101 Technology Information

10/24/2011 Web Browsing Topics Physical Exchange of Web Web Browsing 101 Technology Information Browsers Web Evolution of Applications Technology NAGTRI Webinar Series NCJRL / NAAG NAGTRI Webinar Series NCJRL / NAAG Personal

267 views • 12 slides
SOCIAL MEDIA PRIVACY SETTINGS How to make your profiles private, block people, and deactivate

SOCIAL MEDIA PRIVACY SETTINGS How to make your profiles private, block people, and deactivate

SOCIAL MEDIA PRIVACY SETTINGS How to make your profiles private, block people, and deactivate your account on Facebook Angelica Gonzalez, Lupe Heredia, Malia Xiong HOW TO MAKE YOUR PROFILE PRIVATE FROM A COMPUTER STEP 1: LOG IN TO PROFILE

612 views • 27 slides
Internet Privacy Proxies, VPNs and Tor for private communications in the public Internet

Internet Privacy Proxies, VPNs and Tor for private communications in the public Internet

Free Technology Workshop Internet Privacy Proxies, VPNs and Tor for private communications in the public Internet Organised by Steven Gordon Room RS401 9am - 12noon Friday 20 June 2014 http://ict.siit.tu.ac.th/moodle/ Demos and Tasks

684 views • 10 slides

More recommend