Billede: Schwarz et al.
Akademikere, der er kommet op med en ny teknik, der utætheder data om brugernes browsere; nok til at besejre anti-fingeraftryk-systemer og privatliv-at bevare browser udvidelser til at give måder til at identificere brugere af deres browser og underliggende platform på en måde, der ikke er blevet gjort før.
Kaldet “JavaScript Skabelon Angreb,” denne nye teknik, der kredser omkring begrebet JavaScript egenskaber og de standard værdier, som browser-motorer vende tilbage til grundlæggende JavaScript forespørgsler, søger værdien af en bestemt ejendom.
JavaScript miljø skabeloner
De forskere, alle tre fra Graz University of Technology, i Østrig, skabt et system, der automatiserer søgning efter og samling af tusindvis af JavaScript egenskaber og deres standardværdier fra en brugers miljø.
Den grundlæggende idé var at automatisere disse forespørgsler og derefter rotere browsere, operativsystemer, hardware platform og browser-udvidelser, til at indsamle de standard værdier af alle kendte JavaScript egenskaber for hver miljø/installation.
Forskere derefter bygget en matrix af hvert miljø er standard egenskaber, værdier, at skabe en skabelon — deraf navnet JavaScript Skabelon Angreb — for hver mulig afsløring scenarie med en oversigt over alle miljø-afhængige ejendom værdier.
Forskerholdet, der siger, at disse skabeloner kan bruges på et senere tidspunkt at scanne en besøgende bruger og registrere specifikke miljø oplysninger der er baseret på den standard ejendom værdier brugerens browser ‘ s afkast.
Denne data kan bruges til at oprette brugerprofiler (for trafik/user fingeraftryk) at bryde brugernes anonymitet eller for lusket måde, ligesom raffinering rettet mod zero-day exploits.
En temmelig kraftfuld og præcis angreb
Forskerholdet sagde test viste, at deres metode var i stand til at skelne mellem alle 40 testet miljøer; skelne browser ned til nøjagtige version; afgøre installerede udvidelser baseret på, hvordan de har ændret indfødte ejendom værdier; bestem selv enkelte forlængelse indstillinger; afgøre, ekstremt tekniske detaljer, såsom CPU-leverandør, hvilket operativsystem (ikke angivet som bruger agenter, som kan være forfalsket); at fastslå tilstedeværelsen af en browser egen tilstand; og selv hvis browseren kører i en virtuel maskine.
Disse oplysninger kan være nyttige ved sporing eller måske vil være mere nyttige for raffinering udnytter. Det hele afhænger af, hvad truslen skuespiller forsøger at gøre, men konklusionen er, at den metode, der er pålidelige nok til at arbejde og gå uden selv privacy-hærdet miljøer, som Tor på Android.
Alt i alt, JavaScript Skabelon Angreb viste sig at være meget stærke, som forskere har også opdaget en masse JavaScript-egenskaber, der ikke var blevet officielt dokumenteret, som har forbedret nøjagtighed af deres metode.
Billede: Schwarz et al.
Endvidere, fordi browsere beslutningstagere har en tendens til at forbedre deres software med nye Web-Api ‘ er-som alle er kontrollerbar via JavaScript — antallet af JavaScript ejendomme er vokset i de seneste år og forventes at vokse og forbedre nøjagtigheden af JavaScript Skabelon Angreb endnu mere.
Billede: Schwarz et al.
Forskerholdet, der sagde, at de håbede, at browser-producenter og privacy extension udviklere bruger deres arbejde på at afdække miljø-afhængige forskelle mellem JavaScript ejendom værdier til at forbedre deres produkter og udrydde enhver muligheder for brugeren fingeraftryk.
Yderligere oplysninger om denne forskning kan findes i en hvidbog, der hedder “JavaScript Skabelon Angreb: Automatisk Udlede Vært Oplysninger for Målrettet Udnytter,” som kan downloades fra her og her. En 20-minutters video præsentation, som forskningen team gav på NDSS 2019 sikkerhed konference, er tilgængelig nedenfor:
Mere browser dækning:
Apple misbilliger SHA-1-certifikater i Safari
Opera lancerer Opera GX, verdens første gaming-browser
Google lover at spille flot med ad-blokkere (igen)Opera, Modig, Vivaldi at ignorere Chrome ‘s ad-blocker ændringer, på trods af fælles codebaseMozilla CEO: Premium-version af Firefox, der kommer denne fallGoogle Chrome 75 udgivet med hemmelige Læser ModeHow til at bruge Tor browser på en Android-enhed, TechRepublicModig’ s privacy-første browser annoncer ankommer med lovede udbetaling for dig CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre