他們發現了一個漏洞,即使您使用Tor也可以跟踪用戶

幾天前 FingerprintJS發表了一個帖子 博客在其中 告訴我們有關已發現的漏洞的信息 對他們來說,什麼是 允許網站可靠地識別用戶 在各種瀏覽器中,僅台式瀏覽器會受到影響。

提到漏洞 使用有關已安裝應用程序的信息 在計算機上分配一個永久的唯一標識符,即使用戶更改瀏覽器,使用隱身模式或VPN,該標識符也將始終存在。

由於此漏洞允許在不同的瀏覽器中進行第三方跟踪,因此它構成了侵犯隱私的行為,即使Tor是提供終極隱私保護的瀏覽器,也受到了影響。

根據FingerprintJS, 該漏洞已經存在超過5年了,其實際影響尚不清楚。 架構氾濫漏洞使黑客能夠確定目標計算機上安裝的應用程序。 平均而言,識別過程需要花費幾秒鐘的時間, 適用於Windows,Mac和Linux操作系統。

在我們對反欺詐技術的研究中,我們發現了一個漏洞,該漏洞使網站能夠可靠地識別不同桌面瀏覽器中的用戶並鏈接其身份。 Tor瀏覽器,Safari,Chrome和Firefox的桌面版本會受到影響。

我們將此漏洞稱為Schema Flood,因為它使用自定義URL方案作為攻擊媒介。 該漏洞使用有關計算機上安裝的應用程序的信息為您分配一個永久的唯一標識符,即使您更改瀏覽器,使用隱身模式或使用VPN。

要檢查是否安裝了應用程序,瀏覽器可以使用架構管理器 內置的自定義網址。

一個基本的例子是可以驗證的,因為只需在瀏覽器的地址欄中輸入skype就可以執行以下操作://。 這樣,我們可以認識到此問題可能產生的實際影響。 此功能也稱為深度鏈接,在移動設備上得到廣泛使用,但在桌面瀏覽器上也可用。

根據設備上安裝的應用程序,網站可能會出於其他惡意目的而識別人員。 例如,站點可以基於已安裝的應用程序並關聯被認為是匿名的瀏覽歷史來檢測Internet上的軍官或軍人。 讓我們研究一下瀏覽器之間的差異。

在受影響的四個主要瀏覽器中, 只有Chrome開發人員似乎知道 模式氾濫漏洞。 該問題已在Chromium錯誤跟踪器中進行了討論,應盡快解決。

另外, 只有chrome瀏覽器具有某種架構氾濫保護功能, 因為它會阻止任何應用程序啟動,除非通過用戶操作(例如單擊鼠標)請求。 有一個全局標誌允許(或拒絕)網站打開應用程序,在操作自定義URL方案後將其設置為false。

另一方面,在Firefox中 嘗試導航到未知的URL方案時,Firefox 顯示帶有錯誤的內部頁面。 該內部頁面的來源與任何其他網站都不同,因此,由於相同來源策略的限制,無法訪問它。

至於Tor,該漏洞 在這個瀏覽器中 是執行時間最長的一種 由於Tor瀏覽器規則,每個應用最多可能需要10秒鐘才能完成驗證。 但是,該漏洞利用程序可以在後台運行,並在更長的瀏覽會話中跟踪其目標。

利用架構氾濫漏洞的確切步驟可能因瀏覽器而異,但最終結果是相同的。

終於 如果您有興趣了解更多信息,您可以查看詳細信息 在下面的鏈接中。


本文內容遵循我們的原則 編輯倫理。 要報告錯誤,請單擊 這裡.

2條評論,留下您的評論

發表您的評論

您的電子郵件地址將不會被發表。 必填字段標有 *

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。

  1.   網上有人 他說:

    顯然,我使用Linux,在Firefox和Vivaldi中,它的確顯示了ID。 在OPERA中,此方法無效。

    這很令人擔憂,我不知道是否有任何方法可以避免它或使它無效。

  2.   塞薩爾·德·洛斯·拉博斯 他說:

    <<>
    有必要在不同的情況下看到......舊的舊內核發行版,沒有更新的瀏覽器和虛擬機怎麼樣!