Ili malkovris vundeblecon, kiu ebligas spuradon de uzantoj, eĉ se vi uzas Tor

Antaŭ kelkaj tagoj FingerprintJS faris afiŝon blogo en kiu rakontas al ni pri malkaŝita malkovrita por ili kaj kio estas permesas retejojn fidinde identigi uzantojn en diversaj retumiloj, el kiuj nur labortablaj retumiloj estas trafitaj.

Oni mencias, ke la vundebleco uzas informojn pri instalitaj programoj en la komputilo por atribui konstantan unikan identigilon, kiu, eĉ se la uzanto ŝanĝas retumilojn, uzas inkognitan reĝimon aŭ VPN, ĝi ĉiam ĉeestos.

Ĉar ĉi tiu vundebleco permesas trian spuradon en malsamaj retumiloj, ĝi konsistigas privatecan malobservon, kaj kvankam Tor estas retumilo, kiu ofertas la plej bonan privatecan protekton, ĝi ankaŭ efikas.

Laŭ FingerprintJS, Ĉi tiu vundebleco ekzistas de pli ol 5 jaroj kaj ĝia vera efiko estas nekonata. La skema inunda vundebleco permesas al retpirato determini la programojn instalitajn en la komputilo de la celo. Averaĝe, la identiga procezo daŭras kelkajn sekundojn kaj funkcias en operaciumoj Vindozo, Mac kaj Linukso.

En nia esplorado pri kontraŭfraŭdaj teknikoj, ni malkovris vundeblecon, kiu permesas retejojn fidinde identigi uzantojn en malsamaj labortablaj retumiloj kaj ligi iliajn identecojn. La labortablaj versioj de Tor Browser, Safari, Chrome kaj Firefox estas trafitaj.

Ni nomos ĉi tiun vundeblecon Schema Flood, ĉar ĝi uzas kutimajn URL-skemojn kiel atakvektoro. La vundebleco uzas informojn pri la programoj instalitaj en via komputilo por asigni al vi konstantan unikan identigilon, eĉ se vi ŝanĝas retumilojn, uzas inkognitan reĝimon aŭ uzas VPN.

Por kontroli ĉu aplikaĵo estas instalita, retumiloj povas uzi skemajn administrantojn enkonstruitaj laŭmendaj URLoj.

Baza ekzemplo pri tio, eblas kontroli, ĉar sufiĉas nur plenumi la sekvan agon enigante skype: // en la adresobreto de la retumilo. Per ĉi tio ni povas realigi la veran efikon, kiun ĉi tiu problemo povas havi. Ĉi tiu funkcio ankaŭ estas konata kiel profunda ligado kaj estas vaste uzata en porteblaj aparatoj, sed ĝi ankaŭ haveblas ĉe labortablaj retumiloj.

Depende de la programoj instalitaj en aparato, eblas al retejo identigi homojn por pli malicaj celoj. Ekzemple, retejo povas detekti oficiron aŭ militistaron en la interreto surbaze de instalitaj programoj kaj asocii foliumantan historion kredatan kiel anonima. Ni trarigardu la diferencojn inter retumiloj.

El la kvar ĉefaj retumiloj tuŝitaj, nur kromaj programistoj ŝajnas esti konsciaj de skema inunda vundebleco. La problemo estis pridiskutita en la spuro de cimoj de Chromium kaj devas esti riparita baldaŭ.

Ankaŭ, nur Chrome retumilo havas ian skeman inundan protekton, ĉar ĝi malebligas ke ia aplikaĵo ekiru krom se petita de uzanto-ago kiel musklako. Estas tutmonda flago, kiu permesas (aŭ neas) retejojn malfermi aplikaĵojn, kiu estas falsa post manipuli laŭmendan URL-skemon.

Aliflanke en Fajrovulpo kiam vi provas navigi al nekonata URL-skemo, Fajrovulpo montras internan paĝon kun eraro. Ĉi tiu interna paĝo havas alian originon ol iu ajn alia retejo, do ne eblas aliri ĝin pro la limigo de la identa originpolitiko.

Pri Tor, la vundebleco en ĉi tiu retumilo, estas tiu, kiu plej longe bezonas sukcese ekzekuti ĉar povas daŭri ĝis 10 sekundoj por ĉiu programo por kontroli pro reguloj de retumilo Tor. Tamen la ekspluato povas kuri en la fono kaj spuri sian celon dum pli longa foliuma kunsido.

La ĝustaj paŝoj por ekspluati la vundeblecon de skema inundo povas varii laŭ retumilo, sed la fina rezulto estas la sama.

Fine se vi interesiĝas scii pli pri ĝi, vi povas kontroli la detalojn En la sekva ligilo.


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

2 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   Iu en la RETO diris

    Evidente mi uzas Linukson, kaj en Fajrovulpo ĝi ja montris identigilon, same kiel en Vivaldi, sed; en OPERA ĝi ne funkciis.

    Ĝi koncernas, kaj mi ne scias, ĉu estas ia maniero eviti ĝin aŭ nuligi ĝin.

  2.   Cesar de los RABOS diris

    <<>
    Necesus vidi, en diversaj scenaroj ... kiel pri malnova malnova kerna distribuo, retumilo sen ĝisdatigo kaj en virtuala maŝino!