آنها یک آسیب پذیری را کشف کردند که به شما امکان ردیابی کاربر را می دهد ، حتی اگر از Tor استفاده می کنید

چند روز قبل FingerprintJS یک پست ارسال کرد وبلاگی که در آن درباره آسیب پذیری کشف شده به ما می گوید برای آنها و آنچه که است به وب سایت ها اجازه می دهد کاربران را به طور قابل اعتماد شناسایی کنند در مرورگرهای مختلف ، که فقط مرورگرهای دسک تاپ تحت تأثیر قرار می گیرند.

ذکر شده است که این آسیب پذیری از اطلاعات برنامه های نصب شده استفاده می کند در رایانه برای تعیین یک شناسه منحصر به فرد دائمی که حتی اگر کاربر مرورگرها را تغییر دهد ، از حالت ناشناس یا VPN استفاده کند ، همیشه وجود دارد.

از آنجا که این آسیب پذیری امکان ردیابی اشخاص ثالث را در مرورگرهای مختلف فراهم می کند ، این امر به منزله نقض حریم خصوصی است و حتی اگر Tor مرورگری است که نهایت حفاظت از حریم شخصی را ارائه می دهد ، تحت تأثیر قرار می گیرد.

طبق FingerprintJS ، این آسیب پذیری بیش از 5 سال وجود داشته و تأثیر واقعی آن مشخص نیست. آسیب پذیری طغیان طرحواره به یک هکر اجازه می دهد تا برنامه های نصب شده روی رایانه هدف را تعیین کند. به طور متوسط ​​، مراحل شناسایی چند ثانیه طول می کشد و روی سیستم عامل های ویندوز ، مک و لینوکس کار می کند.

در تحقیقات خود درباره تکنیک های ضد تقلب ، ما یک آسیب پذیری را کشف کرده ایم که به وب سایت ها اجازه می دهد تا کاربران را به طور قابل اعتماد در مرورگرهای مختلف دسک تاپ شناسایی کرده و هویت آنها را به هم پیوند دهند. نسخه های دسک تاپ Tor Browser ، Safari ، Chrome و Firefox تحت تأثیر قرار می گیرند.

ما از این آسیب پذیری به عنوان Schema Flood یاد خواهیم کرد ، زیرا از طرح های URL سفارشی به عنوان بردار حمله استفاده می کند. این آسیب پذیری از اطلاعات مربوط به برنامه های نصب شده در رایانه شما استفاده می کند تا یک شناسه منحصر به فرد دائمی به شما اختصاص دهد ، حتی اگر مرورگرها را تغییر دهید ، از حالت ناشناس استفاده کنید یا از VPN استفاده کنید.

برای بررسی نصب برنامه ، مرورگرها می توانند از مدیران طرح استفاده کنند URL های سفارشی داخلی

به عنوان مثال اساسی ، امکان بررسی وجود دارد ، زیرا کافی است فقط با وارد کردن اسکایپ: // در نوار آدرس مرورگر ، عمل زیر را انجام دهید. با این کار می توانیم به تأثیر واقعی این مسئله پی ببریم. این ویژگی به عنوان پیوند عمیق نیز شناخته می شود و به طور گسترده در دستگاه های تلفن همراه استفاده می شود ، اما در مرورگرهای دسک تاپ نیز وجود دارد.

بسته به برنامه های نصب شده بر روی یک دستگاه ، این امکان برای یک وب سایت وجود دارد که افراد را برای اهداف مخرب تر شناسایی کند. به عنوان مثال ، یک سایت می تواند یک افسر یا ارتش را بر اساس برنامه های نصب شده و مرتبط کردن سابقه مرور در اینترنت ، شناسایی کند. بیایید به تفاوت بین مرورگرها بپردازیم.

از چهار مرورگر اصلی که تحت تأثیر قرار گرفته اند ، به نظر می رسد فقط توسعه دهندگان کروم از این موضوع آگاه هستند از آسیب پذیری سیل طرحواره. این مشکل در ردیاب اشکال Chromium مورد بحث قرار گرفته است و باید به زودی رفع شود.

علاوه بر این، فقط مرورگر کروم دارای نوعی محافظت در برابر سیل طرح ، زیرا مانع از شروع هر برنامه ای می شود مگر اینکه توسط کاربر مانند کلیک ماوس درخواست شود. یک پرچم جهانی وجود دارد که به وب سایت ها امکان باز کردن برنامه ها را می دهد (یا آنها را رد می کند) ، که پس از دستکاری در طرح URL سفارشی ، نادرست تنظیم می شود.

از طرف دیگر در Firefox هنگام تلاش برای رفتن به یک برنامه url ناشناخته ، Firefox صفحه داخلی را با خطا نمایش می دهد. منشأ این صفحه داخلی متفاوت از هر وب سایت دیگری است ، بنابراین دسترسی به آن به دلیل محدودیت خط مشی یکسان مبدا امکان پذیر نیست.

در مورد Tor ، این آسیب پذیری است در این مرورگر ، یکی است که طولانی ترین زمان برای موفقیت آمیز اجرا شدن طول می کشد زیرا به دلیل قوانین مرورگر Tor ممکن است 10 برنامه برای تأیید هر برنامه طول بکشد. با این حال ، بهره برداری می تواند در پس زمینه اجرا شود و هدف خود را در یک جلسه مرور طولانی تر ردیابی کند.

مراحل دقیق بهره برداری از آسیب پذیری سیل طرحواره ممکن است در مرورگر متفاوت باشد ، اما نتیجه نهایی یکسان است.

سرانجام اگر شما علاقه مند به دانستن بیشتر در مورد آن هستید، می توانید جزئیات را بررسی کنید در لینک زیر.


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

2 نظر ، نظر خود را بگذارید

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.

  1.   شخصی در NET dijo

    بدیهی است که من از لینوکس استفاده می کنم و در Firefox یک شناسه و همچنین در Vivaldi نشان داد ، اما ؛ در OPERA کار نمی کند.

    این مسئله نگران کننده است و من نمی دانم راهی برای جلوگیری از آن یا باطل کردن آن وجود دارد.

  2.   سزار د لوس RABOS dijo

    <<>
    لازم است که ببینید ، در سناریوهای متنوع ... چگونه در مورد توزیع هسته قدیمی ، یک مرورگر بدون به روزرسانی و در یک ماشین مجازی!