Mereka menemui kerentanan yang memungkinkan penjejakan pengguna, walaupun anda menggunakan Tor

Beberapa hari yang lalu Cap jariJS membuat catatan blog di mana memberitahu kami mengenai kerentanan yang ditemui untuk mereka dan apa itu membolehkan laman web mengenal pasti pengguna dengan pasti dalam pelbagai penyemak imbas, yang mana hanya penyemak imbas desktop yang terjejas.

Disebutkan bahawa kerentanan menggunakan maklumat mengenai aplikasi yang dipasang di komputer untuk menetapkan pengecam unik tetap yang, walaupun pengguna menukar penyemak imbas, menggunakan mod penyamaran atau VPN, ia akan selalu ada.

Oleh kerana kerentanan ini memungkinkan penjejakan pihak ketiga dalam penyemak imbas yang berbeza, ini merupakan pelanggaran privasi dan walaupun Tor adalah penyemak imbas yang menawarkan perlindungan privasi tertinggi, ia juga terpengaruh.

Menurut FingerprintJS, Kerentanan ini telah wujud selama lebih dari 5 tahun dan kesan sebenarnya tidak diketahui. Kerentanan banjir skema membolehkan penggodam menentukan aplikasi yang dipasang di komputer sasaran. Rata-rata, proses pengenalan memerlukan beberapa saat dan berfungsi pada sistem operasi Windows, Mac dan Linux.

Dalam penyelidikan kami mengenai teknik anti-penipuan, kami telah menemui kerentanan yang membolehkan laman web mengenal pasti pengguna dengan pasti dalam penyemak imbas desktop yang berbeza dan menghubungkan identiti mereka. Versi desktop Tor Browser, Safari, Chrome, dan Firefox dipengaruhi.

Kami akan merujuk kerentanan ini sebagai Skema Banjir, kerana ia menggunakan skema URL khusus sebagai vektor serangan. Kerentanan menggunakan maklumat mengenai aplikasi yang dipasang di komputer anda untuk memberikan pengenal unik tetap kepada anda, walaupun anda menukar penyemak imbas, menggunakan mod penyamaran, atau menggunakan VPN.

Untuk memeriksa sama ada aplikasi dipasang, penyemak imbas boleh menggunakan pengurus skema URL tersuai terbina dalam.

Contoh asasnya, adalah mungkin untuk mengesahkan, kerana cukup untuk melakukan tindakan berikut dengan memasukkan skype: // di bar alamat penyemak imbas. Dengan ini kita dapat menyedari kesan sebenar masalah ini. Fungsi ini juga dikenali sebagai deep linking dan digunakan secara meluas pada peranti mudah alih, tetapi juga tersedia pada penyemak imbas desktop.

Bergantung pada aplikasi yang dipasang pada peranti, laman web mungkin untuk mengenal pasti orang untuk tujuan yang lebih jahat. Sebagai contoh, laman web dapat mengesan seorang pegawai atau tentera di Internet berdasarkan aplikasi yang dipasang dan mengaitkan sejarah penyemakan imbas yang dipercayai tanpa nama. Mari kita perhatikan perbezaan antara penyemak imbas.

Dari empat penyemak imbas utama yang terjejas, hanya pemaju krom yang nampaknya sedar kerentanan banjir skema. Masalahnya telah dibincangkan di Chromium bug tracker dan harus segera diselesaikan.

Selain itu, hanya penyemak imbas chrome yang mempunyai semacam perlindungan banjir skema, kerana ia menghalang aplikasi untuk dimulakan kecuali diminta oleh tindakan pengguna seperti klik tetikus. Terdapat bendera global yang memungkinkan (atau menolak) laman web untuk membuka aplikasi, yang diatur ke false setelah memanipulasi skema URL khusus.

Sebaliknya di Firefox ketika cuba menavigasi ke skema url yang tidak diketahui, Firefox memaparkan halaman dalaman dengan ralat. Halaman dalaman ini mempunyai asal yang berbeza daripada laman web lain, jadi tidak mungkin untuk mengaksesnya kerana keterbatasan dasar asal yang serupa.

Bagi Tor, kerentanannya dalam penyemak imbas ini, adalah yang paling lama untuk dilaksanakan dengan jayanya kerana setiap aplikasi memerlukan masa sehingga 10 saat untuk mengesahkannya kerana peraturan penyemak imbas Tor. Namun, eksploitasi dapat berjalan di latar belakang dan mengesan sasarannya selama sesi penyemakan imbas yang lebih lama.

Langkah-langkah tepat untuk mengeksploitasi kerentanan banjir skema mungkin berbeza mengikut penyemak imbas, tetapi hasil akhirnya adalah sama.

Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh menyemak perinciannya Dalam pautan berikut.