उन्होंने एक भेद्यता की खोज की जो उपयोगकर्ता ट्रैकिंग की अनुमति देती है, भले ही आप Tor you का उपयोग करते हों

कुछ दिनों पहले फ़िंगरप्रिंटजेएस ने एक पोस्ट किया ब्लॉग जिसमें हमें एक भेद्यता के बारे में बताता है जिसे खोजा गया था उनके लिए और क्या है वेबसाइटों को विश्वसनीय रूप से उपयोगकर्ताओं की पहचान करने की अनुमति देता है विभिन्न ब्राउज़रों में, जिनमें से केवल डेस्कटॉप ब्राउज़र प्रभावित होते हैं।

यह उल्लेख किया गया है कि भेद्यता इंस्टॉल किए गए एप्लिकेशन के बारे में जानकारी का उपयोग करता है कंप्यूटर पर एक स्थायी विशिष्ट पहचानकर्ता निर्दिष्ट करने के लिए, जो भले ही उपयोगकर्ता ब्राउज़र बदलता है, गुप्त मोड या वीपीएन का उपयोग करता है, यह हमेशा मौजूद रहेगा।

चूंकि यह भेद्यता विभिन्न ब्राउज़रों में तृतीय-पक्ष ट्रैकिंग की अनुमति देती है, यह एक गोपनीयता उल्लंघन का गठन करती है और भले ही टोर एक ऐसा ब्राउज़र है जो गोपनीयता सुरक्षा में अंतिम प्रदान करता है, यह भी प्रभावित होता है।

फ़िंगरप्रिंटजेएस के अनुसार, यह भेद्यता 5 वर्षों से अधिक समय से मौजूद है और इसका वास्तविक प्रभाव अज्ञात है। स्कीमा बाढ़ भेद्यता एक हैकर को लक्ष्य के कंप्यूटर पर स्थापित अनुप्रयोगों को निर्धारित करने की अनुमति देती है। औसतन, पहचान प्रक्रिया में कुछ सेकंड लगते हैं और विंडोज, मैक और लिनक्स ऑपरेटिंग सिस्टम पर काम करता है।

धोखाधड़ी-रोधी तकनीकों पर हमारे शोध में, हमने एक भेद्यता की खोज की है जो वेबसाइटों को विभिन्न डेस्कटॉप ब्राउज़रों में उपयोगकर्ताओं की मज़बूती से पहचान करने और उनकी पहचान को जोड़ने की अनुमति देती है। Tor Browser, Safari, Chrome और Firefox के डेस्कटॉप संस्करण प्रभावित होते हैं।

हम इस भेद्यता को स्कीमा फ्लड के रूप में संदर्भित करेंगे, क्योंकि यह कस्टम URL योजनाओं को अटैक वेक्टर के रूप में उपयोग करता है। भेद्यता आपके कंप्यूटर पर इंस्टॉल किए गए एप्लिकेशन के बारे में जानकारी का उपयोग आपको एक स्थायी विशिष्ट पहचानकर्ता प्रदान करने के लिए करती है, भले ही आप ब्राउज़र बदलते हैं, गुप्त मोड का उपयोग करते हैं, या वीपीएन का उपयोग करते हैं।

यह जांचने के लिए कि कोई एप्लिकेशन इंस्टॉल है या नहीं, ब्राउज़र स्कीमा प्रबंधकों का उपयोग कर सकते हैं अंतर्निहित कस्टम URL.

इसका एक मूल उदाहरण, इसे सत्यापित करना संभव है, क्योंकि यह ब्राउज़र के एड्रेस बार में स्काइप: // दर्ज करके निम्नलिखित क्रिया को निष्पादित करने के लिए पर्याप्त है। इससे हम इस समस्या के वास्तविक प्रभाव को महसूस कर सकते हैं। इस सुविधा को डीप लिंकिंग के रूप में भी जाना जाता है और इसका व्यापक रूप से मोबाइल उपकरणों पर उपयोग किया जाता है, लेकिन यह डेस्कटॉप ब्राउज़र पर भी उपलब्ध है।

किसी डिवाइस पर इंस्टॉल किए गए एप्लिकेशन के आधार पर, वेबसाइट के लिए अधिक दुर्भावनापूर्ण उद्देश्यों के लिए लोगों की पहचान करना संभव है। उदाहरण के लिए, एक साइट इंटरनेट पर किसी अधिकारी या सेना का पता लगा सकती है जो इंस्टॉल किए गए एप्लिकेशन और संबद्ध ब्राउज़िंग इतिहास के आधार पर गुमनाम मानी जाती है। आइए ब्राउज़रों के बीच के अंतरों पर ध्यान दें।

प्रभावित चार मुख्य ब्राउज़रों में से, केवल क्रोम डेवलपर्स ही जागरूक प्रतीत होते हैं स्कीमा बाढ़ भेद्यता। क्रोमियम बग ट्रैकर में समस्या पर चर्चा की गई है और इसे जल्द ही ठीक किया जाना चाहिए।

इसके अलावा, केवल क्रोम ब्राउज़र में किसी प्रकार की स्कीमा बाढ़ सुरक्षा होती है, क्योंकि यह किसी भी एप्लिकेशन को तब तक शुरू होने से रोकता है जब तक कि उपयोगकर्ता कार्रवाई जैसे माउस क्लिक द्वारा अनुरोध नहीं किया जाता है। एक वैश्विक ध्वज है जो वेबसाइटों को एप्लिकेशन खोलने की अनुमति देता है (या अस्वीकार करता है), जो एक कस्टम यूआरएल योजना में हेरफेर करने के बाद गलत पर सेट है।

दूसरी ओर फ़ायरफ़ॉक्स में किसी अज्ञात url योजना पर नेविगेट करने का प्रयास करते समय, Firefox एक त्रुटि के साथ एक आंतरिक पृष्ठ प्रदर्शित करता है। इस आंतरिक पृष्ठ का मूल किसी अन्य वेबसाइट से भिन्न है, इसलिए समान मूल नीति की सीमा के कारण इसे एक्सेस करना संभव नहीं है।

टोर के लिए, भेद्यता इस ब्राउज़र में, वह है जो सफलतापूर्वक निष्पादित करने में सबसे लंबा समय लेता है क्योंकि टोर ब्राउज़र नियमों के कारण प्रत्येक ऐप को सत्यापित होने में 10 सेकंड तक का समय लग सकता है। हालाँकि, शोषण पृष्ठभूमि में चल सकता है और लंबे ब्राउज़िंग सत्र के दौरान अपने लक्ष्य को ट्रैक कर सकता है।

स्कीमा बाढ़ भेद्यता का फायदा उठाने के सटीक चरण ब्राउज़र द्वारा भिन्न हो सकते हैं, लेकिन अंतिम परिणाम समान है।

अंत में यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, आप विवरण की जांच कर सकते हैं निम्नलिखित लिंक में