Prije nekoliko dana FingerprintJS je objavio publikaciju bloga u kojem govori nam o ranjivosti koja je otkrivena za njih i to ovo omogućava web stranicama da pouzdano identificiraju korisnike u nekoliko pretraživača, od kojih su pogođeni samo desktop pretraživači.
Spominje se da je ranjivost koristi informacije o instaliranim aplikacijama na računalu dodijeliti trajni jedinstveni identifikator koji će, čak i ako korisnik promijeni pretraživač, koristi anonimni način rada ili VPN, uvijek biti prisutan.
Budući da ova ranjivost omogućava praćenje trećih strana u različitim pretraživačima, to predstavlja kršenje privatnosti i iako je Tor pretraživač koji nudi najnoviju zaštitu privatnosti, to je također pogođeno.
Prema FingerprintJS, Ova ranjivost postoji više od 5 godina i njen stvarni uticaj je nepoznat. Ranjivost sheme flooding omogućava hakeru da odredi aplikacije instalirane na računaru cilja. U prosjeku, proces identifikacije traje nekoliko sekundi i radi na Windows, Mac i Linux operativnim sistemima.
U našem istraživanju tehnika za borbu protiv prijevara, otkrili smo ranjivost koja omogućava web stranicama da pouzdano identificiraju korisnike u različitim desktop pretraživačima i povežu njihove identitete. To utiče na Desktop verzije pretraživača Tor, Safari, Chrome i Firefox.
Ovu ranjivost ćemo nazvati preplavljivanjem šeme jer koristi prilagođene URL šeme kao vektor napada. Ranjivost koristi informacije o aplikacijama instaliranim na vašem računalu kako bi vam dodijelila trajni jedinstveni identifikator, čak i ako promijenite pretraživač, koristite anonimni način rada ili koristite VPN.
Da bi provjerili je li aplikacija instalirana, preglednici mogu koristiti upravitelje šema ugrađeni prilagođeni URL-ovi.
Osnovni primjer ovoga se može provjeriti, jer je dovoljno jednostavno izvršiti sljedeću radnju unosom skype:// u adresnu traku pretraživača. Na taj način možemo shvatiti pravi uticaj koji ovaj problem može imati. Ova funkcija je također poznata kao dubinsko povezivanje i široko se koristi na mobilnim uređajima, ali je dostupna i na desktop pretraživačima.
Ovisno o aplikacijama instaliranim na uređaju, moguće je da web stranica identificira ljude u zlonamjernije svrhe. Na primjer, stranica može otkriti oficira ili pripadnika vojske na Internetu na osnovu instaliranih aplikacija i povezivanja historije pretraživanja za koju se vjeruje da je anonimna. Pogledajmo razlike između pretraživača.
Od četiri glavna pretraživača pogođena, čini se da su svjesni samo Chrome programeri ranjivosti programa na poplave. Problem je razmatran na Chromium alatu za praćenje grešaka i uskoro bi trebao biti riješen.
Takođe, samo Chrome preglednik ima bilo kakvu šemu zaštite od poplava, jer sprečava pokretanje bilo koje aplikacije osim ako to ne zatraži radnja korisnika kao što je klik mišem. Postoji globalna zastavica koja dozvoljava (ili odbija) web lokacijama da otvaraju aplikacije, a koja je postavljena na netačno nakon manipulacije prilagođenom URL šemom.
S druge strane u Firefoxu kada pokušavate navigirati do nepoznate URL šeme, Firefox prikazuje internu stranicu sa greškom. Ova interna stranica ima drugačije porijeklo od bilo koje druge web stranice, tako da nije dostupna zbog ograničenja politike identičnog porijekla.
Što se tiče Tora, ranjivost u ovom pretraživaču, Za uspješno izvršenje potrebno je najduže. jer može potrajati i do 10 sekundi da se svaka aplikacija potvrdi zbog pravila pretraživača Tor. Međutim, eksploatacija može raditi u pozadini i pratiti svoj cilj tokom duže sesije pretraživanja.
Tačni koraci za iskorištavanje ranjivosti flooding sheme mogu se razlikovati od pretraživača, ali krajnji rezultat je isti.
Konačno ako ste zainteresirani da saznate više o tome, možete provjeriti detalje Na sledećem linku.
Očigledno koristim Linux, au Firefoxu je vratio ID, kao i u Vivaldiju, ali; u OPERI to nije radilo.
To je zabrinjavajuće i ne znam postoji li način da se to izbjegne ili poništi.
<<>
Morali bismo da vidimo, u raznim scenarijima... šta je sa starom distribucijom, starim kernelom, neažuriranim pretraživačem i u virtuelnoj mašini!