JavaScript应用程序披露了“更多的信息超出他们伪装”
研究人员透露,一种自动指纹工具可以利用两次新的侧通道攻击来通过JavaScript泄漏浏览器信息。
来自奥地利格拉兹技术大学的团队发现了一种通过JavaScript收集有关目标浏览器的大量信息的方法。
该技术涉及收集JavaScript引擎可用的所有数据,并使用它来创建一个指纹,该指纹可用于唯一识别浏览器,因此可以识别用户。
暴露的信息包括基础操作系统,CPU体系结构,有关隐私增强插件的信息以及所使用的确切浏览器版本。
与两个新的侧通道利用相结合,是一个攻击者,以获取更多信息。
迈克尔·施瓦茨(Michael Schwarz)告诉该工具,该工具揭示了与电子边界基金会的Panopticlick工具所暴露的信息集相似的。每日swbeplay2018官网ig,但是有了一些添加 - 例如,可以自动找到某些隐私扩展,而不是手动找到。
在他们的论文中JavaScript模板攻击:自动推论目标漏洞的主机信息(PDF),Schwarz,Florian Lackner和Daniel Gruss说,他们的发现表明,浏览器隐私扩展(在很大程度上是使用JavaScript构建的),“可以泄漏更多的信息,而不是伪装的,甚至可以半自动化的信息”。
这两个新的侧通道攻击检测指令集架构和正在使用的内存分配器。然后可以使用这些差异来推导有关系统,软件和硬件的更多信息。
研究人员写道:“因此,我们不能仅仅减轻指纹的创建,而是我们获得更精确的目标剥削的优势。”
该方法通过使用JavaScript引擎可用的所有数据和从这些属性构建模板有效地自动化搜索差异。
他们解释说:“如果这种模板的属性在一个系统上保持不变,但在另一个系统上有所不同,我们发现了一个与环境有关的属性。”
该漏洞利用可用于移动的Firefox,Chrome,Edge和Tor有效。
施瓦茨说:“对于主要的浏览器来说,提供功能和便利而不是隐私通常更为重要。”
正如作者指出的那样,他们的发现不仅对犯罪分子,而且对举报人和激进主义者的影响可能比他们想象的要少。
Schwarz说:“幸运的是,对于隐私的用户来说,有一些扩展可以帮助防止指纹在一定程度上进行。”
“由于大多数指纹技术都依赖于JavaScript,因此禁用或阻止JavaScript减少浏览器提供的信息量。”
他指出,托尔(Tor)默认情况下阻止了JavaScript,以及其他抗指纹技术。他建议:“ TOR浏览器试图积极防止指纹识别并做得非常好。”
可以找到开源工具在github上。
