Несколько дней назад FingerprintJS опубликовал сообщение блог, в котором сообщает нам об обнаруженной уязвимости для них и что есть позволяет веб-сайтам надежно идентифицировать пользователей в различных браузерах, из которых затрагиваются только настольные браузеры.
Отмечается, что уязвимость использует информацию об установленных приложениях на компьютере, чтобы назначить постоянный уникальный идентификатор, который, даже если пользователь меняет браузер, использует режим инкогнито или VPN, он всегда будет присутствовать.
Поскольку эта уязвимость позволяет стороннее отслеживание в разных браузерах, она представляет собой нарушение конфиденциальности, и, хотя Tor является браузером, обеспечивающим максимальную защиту конфиденциальности, она также подвержена влиянию.
Согласно FingerprintJS, Эта уязвимость существует более 5 лет, и ее реальное воздействие неизвестно. Уязвимость рассылки схемы позволяет хакеру определять приложения, установленные на целевом компьютере. В среднем процесс идентификации занимает несколько секунд и работает в операционных системах Windows, Mac и Linux.
В нашем исследовании методов борьбы с мошенничеством мы обнаружили уязвимость, которая позволяет веб-сайтам надежно идентифицировать пользователей в различных браузерах настольных компьютеров и связывать их личности. Это касается настольных версий Tor Browser, Safari, Chrome и Firefox.
Мы будем называть эту уязвимость Schema Flood, поскольку она использует настраиваемые схемы URL-адресов в качестве вектора атаки. Уязвимость использует информацию об установленных на вашем компьютере приложениях, чтобы присвоить вам постоянный уникальный идентификатор, даже если вы меняете браузеры, используете режим инкогнито или используете VPN.
Чтобы проверить, установлено ли приложение, браузеры могут использовать диспетчеры схем. встроенные настраиваемые URL-адреса.
Базовый пример этого можно проверить, поскольку достаточно просто выполнить следующее действие, введя skype: // в адресной строке браузера. Благодаря этому мы можем понять реальное влияние, которое может иметь эта проблема. Эта функция также известна как глубокая ссылка и широко используется на мобильных устройствах, но она также доступна в браузерах для настольных компьютеров.
В зависимости от приложений, установленных на устройстве, веб-сайт может идентифицировать людей для более злонамеренных целей. Например, сайт может обнаружить офицера или военных в Интернете на основе установленных приложений и сопоставления истории просмотров, которая считается анонимной. Давайте рассмотрим различия между браузерами.
Из четырех основных затронутых браузеров только разработчики Chrome, кажется, знают уязвимости схемы флуда. Проблема обсуждалась в системе отслеживания ошибок Chromium и должна быть исправлена в ближайшее время.
Кроме того, только браузер Chrome имеет некоторую защиту от флуда схемы, так как он предотвращает запуск любого приложения, если не запрошено действием пользователя, например щелчком мыши. Существует глобальный флаг, разрешающий (или запрещающий) веб-сайтам открывать приложения, для которого устанавливается значение false после манипулирования настраиваемой схемой URL-адресов.
С другой стороны, в Firefox при попытке перейти к неизвестной схеме URL-адреса Firefox отображает внутреннюю страницу с ошибкой. Эта внутренняя страница имеет другое происхождение, чем любой другой веб-сайт, поэтому к ней невозможно получить доступ из-за ограничений политики идентичного происхождения.
Что касается Tor, уязвимость в этом браузере, это тот, который занимает больше всего времени для успешного выполнения поскольку проверка каждого приложения может занять до 10 секунд в соответствии с правилами браузера Tor. Однако эксплойт может работать в фоновом режиме и отслеживать свою цель во время более длительного сеанса просмотра.
Точные действия по эксплуатации уязвимости, связанной с наводнением схемы, могут отличаться в зависимости от браузера, но конечный результат будет одинаковым.
В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности По следующей ссылке.
Очевидно, я использую Linux, и в Firefox он показывает идентификатор, как и в Vivaldi, но; в OPERA это не сработало.
Это беспокоит, и я не знаю, есть ли способ избежать этого или свести на нет.
<<>
Было бы необходимо увидеть в различных сценариях ... как насчет старого старого дистрибутива ядра, браузера без обновлений и на виртуальной машине!