Тэд Tor ашиглаж байсан ч гэсэн хэрэглэгчийг хянах боломжийг олгодог эмзэг байдлыг олж илрүүлжээ

Хэд хоногийн өмнө FingerprintJS бичлэг хийлээ блог илэрсэн эмзэг байдлын талаар бидэнд хэлж өгдөг тэдний хувьд юу вэ вэбсайтуудад хэрэглэгчдийг найдвартай таних боломжийг олгодог зөвхөн ширээний хөтчүүдэд нөлөөлдөг төрөл бүрийн хөтөч дээр.

Энэ эмзэг байдал гэж дурдсан болно суулгасан програмуудын талаархи мэдээллийг ашигладаг компьютер дээр байнгын өвөрмөц таних тэмдэг оноох, хэрэглэгчид хөтөчөө өөрчилсөн ч гэсэн нууцлалын горим эсвэл VPN ашигладаг ч гэсэн үргэлж байх болно.

Энэхүү эмзэг байдал нь өөр өөр хөтөч дээр гуравдагч этгээдийн хяналтыг хийх боломжийг олгодог тул энэ нь хувийн нууцлалыг зөрчдөг тул Tor нь нууцлалын хамгаалалтыг дээд зэргээр санал болгодог хөтөч боловч нөлөөлөх болно.

FingerprintJS-ийн мэдээлснээр Энэхүү эмзэг байдал нь 5-аас дээш жил үргэлжилж байгаа бөгөөд бодит үр нөлөө нь тодорхойгүй байна. Үерийн үерийн эмзэг байдал нь хакерыг зорилтот компьютер дээр суулгасан програмыг тодорхойлох боломжийг олгодог. Дунджаар таних үйл явц хэдэн секунд үргэлжилдэг ба Windows, Mac, Linux үйлдлийн систем дээр ажилладаг.

Луйврын эсрэг техник, технологийн талаар хийсэн судалгаагаараа вэбсайтууд өөр өөр ширээний хөтөч дээр байгаа хэрэглэгчдийг найдвартай таньж, тэдгээрийн хувийн шинж чанарыг хооронд нь холбох боломжийг олгодог эмзэг байдлыг олж илрүүлсэн. Tor Browser, Safari, Chrome, Firefox-ийн ширээний хувилбаруудад нөлөөлж байна.

Бид энэ эмзэг байдлыг халаалтын вектор болгон гаалийн URL схемийг ашигладаг тул Schema Flood гэж нэрлэх болно. Эмзэг байдал нь хөтөчөө сольж, нууц горим эсвэл VPN ашиглаж байсан ч гэсэн танд байнгын өвөрмөц таних тэмдэг олгохын тулд таны компьютер дээр суулгасан програмуудын тухай мэдээллийг ашигладаг.

Програм суулгасан эсэхийг шалгахын тулд хөтөч нь схем менежерүүдийг ашиглаж болно суулгагдсан гаалийн URL.

Үүний үндсэн жишээ бол хөтчийн хаягийн мөрөнд skype: // оруулаад дараахь үйлдлийг гүйцэтгэхэд хангалттай тул үүнийг баталгаажуулах боломжтой юм. Үүгээр бид энэ асуудалд учирч болох бодит үр нөлөөг ойлгож чадна. Энэ функцийг гүн холбоос гэж нэрлэдэг бөгөөд хөдөлгөөнт төхөөрөмж дээр өргөн хэрэглэгддэг боловч ширээний хөтөч дээр бас байдаг.

Төхөөрөмж дээр суулгасан програмуудаас хамаарч вэбсайт нь илүү хортой зорилгоор хүмүүсийг таних боломжтой байдаг. Жишээлбэл, сайт нь офицер эсвэл цэргийн албан хаагчдыг интернэтээс суулгасан програмууд болон нэр нь үл мэдэгдэх гэж үзсэн хөтөч түүхтэй холбож үзсэний үндсэн дээр илрүүлж чаддаг. Хөтөчийн хоорондох ялгааг авч үзье.

Нөлөөлөлд өртсөн дөрвөн үндсэн хөтөчөөс зөвхөн хром хөгжүүлэгчид л мэддэг байх шиг байна үерийн эмзэг байдлын схем. Асуудлыг Chromium bug tracker дээр хэлэлцсэн тул удахгүй засах хэрэгтэй.

Мөн түүнчлэн, зөвхөн хром хөтөч нь үерийн хамгаалалттай байдаг. хулгана дээр дарах гэх мэт хэрэглэгчийн үйлдэл шаардаагүй тохиолдолд програмыг эхлүүлэхээс сэргийлдэг. Вэбсайтуудад програм нээх боломжийг олгодог (эсвэл үгүйсгэдэг) дэлхийн туг байдаг бөгөөд энэ нь гаалийн URL схемийг ашигласны дараа худал гэж тохируулсан байдаг.

Нөгөө талаар Firefox дээр Firefox гэсэн үл мэдэгдэх url схем рүү шилжихийг оролдох үед алдаатай дотоод хуудсыг харуулна. Энэхүү дотоод хуудас нь бусад вэбсайтуудаас өөр гарал үүсэлтэй тул ижил гарал үүслийн бодлогын хязгаарлалттай тул нэвтрэх боломжгүй байна.

Торийн хувьд эмзэг байдал энэ хөтөч дээр, амжилттай гүйцэтгэхэд хамгийн удаан хугацаа шаардагддаг Tor хөтчийн дүрмийн дагуу апп бүрийг шалгахад 10 секунд хүртэл хугацаа шаардагдах тул. Гэсэн хэдий ч мөлжлөг нь цаана нь ажиллаж, удаан хугацааны хайлтын явцад зорилгоо хянах боломжтой.

Схемийн үерийн эмзэг байдлыг ашиглах тодорхой алхамууд нь хөтөчөөс хамаарч өөр өөр байж болох боловч эцсийн үр дүн ижил байна.

Эцэст нь Хэрэв та энэ талаар илүү ихийг мэдэхийг хүсч байвал, та дэлгэрэнгүй мэдээллийг шалгаж болно Дараах холбоос дээр.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

2 сэтгэгдэл, үлдээгээрэй

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.

  1.   NET дээр байгаа хүн байна гэж хэлэв

    Мэдээжийн хэрэг би Линукс ашигладаг бөгөөд Firefox дээр энэ нь ID, мөн Vivaldi дээр харагдсан, гэхдээ; OPERA дээр энэ нь ажиллахгүй байсан.

    Энэ нь хамаатай бөгөөд үүнээс зайлсхийх эсвэл хүчингүй болгох ямар нэгэн арга зам байгаа эсэхийг би мэдэхгүй байна.

  2.   Cesar de los RABOS гэж хэлэв

    <<>
    Янз бүрийн хувилбараар ... хуучин цөмийн тархалт, шинэчлэлгүйгээр хөтөч, виртуал машин дээр яах вэ!