Исследователи разработали способ отслеживать пользователя в разных браузерах на одном компьютере

Исследователи разработали способ отслеживать пользователя в разных браузерах на одном компьютере. Фото: Pixabay

Исследователь одного из самых известных скриптов «снятия отпечатков пальцев»,  FingerprintJS , обнаружил уязвимость, которая позволяет веб-сайту отслеживать пользователя устройства между различными браузерами, включая Chrome, Firefox, Microsoft Edge, Safari и даже Tor.

Читайте в тему:

· Поддельные приложения для Android и iOS обещают прибыльные вложения и крадут деньги.

· Microsoft предупреждает о новой вредоносной программе.

· В 2021 году фишинг, программы-вымогатели и атаки на веб-приложения будут причиной утечки данных.

Константин Даруткин из FingerprintJS:

«Кроссбраузерная анонимность - это то, что даже сознательный интернет-пользователь может считать само собой разумеющимся. Браузер Tor, как известно, предлагает максимальную защиту конфиденциальности, хотя из-за низкой скорости соединения и проблем с производительностью на некоторых веб-сайтах пользователи могут рассчитывать на меньшее чем анонимные браузеры для ежедневного просмотра веб -страниц . Они могут использовать Safari, Firefox или Chrome для некоторых сайтов и Tor для сайтов, на которых они хотят оставаться анонимными. Веб-сайт, использующий уязвимость схемы лавинной рассылки, может создать стабильный и уникальный идентификатор, который может связать эти идентификаторы просмотра вместе».

Чтобы выполнить кросс-браузерное отслеживание с использованием схемы лавинной рассылки, веб-сайт создаёт профиль приложений, установленных на устройстве, пытаясь открыть их известные обработчики URL-адресов и проверяя, запускает ли браузер запрос.

Если запускается запрос на открытие приложения, можно предположить, что конкретное приложение установлено. Проверяя различные обработчики URL-адресов, сценарий может использовать обнаруженные приложения для создания уникального профиля для вашего устройства.

Поскольку установленные приложения на устройстве одинаковы независимо от используемого вами браузера, это может позволить сценарию отслеживать использование браузера пользователем как в Google Chrome, так и в анонимизирующем браузере, таком как Tor. 

Чтобы проверить эту уязвимость, корреспонденты издания посетили демонстрационный сайт Даруткина по адресу  schemeflood.com  с Microsoft Edge, где сценарий запускает обработчики URL-адресов для различных приложений, чтобы определить, установлены ли они.

По завершении в моем профиле был показан уникальный идентификатор, который также был одинаковым для тестов с использованием разных браузеров на моем ПК, включая Firefox, Google Chrome и Tor.

Уязвимость схемы Даруткина в настоящее время проверяет следующие двадцать четыре приложения: Skype, Spotify, Zoom, vscode, Epic Games, Telegram, Discord, Slack, Steam, Battle.net, Xcode, NordVPN, Sketch, Teamviewer, Microsoft Word, WhatsApp, Postman, Adobe, Messenger, Figma, Hotspot Shield, ExpressVPN, Notion и iTunes.

Возможно, что у нескольких пользователей может быть одна и та же комбинация установленных программ, что приведёт к одному и тому же идентификатору профиля.

Из четырёх основных браузеров, протестированных Darutkin, только Google Chrome ранее добавлял средства защиты для предотвращения этого типа атак, предотвращая многократные попытки использования обработчиков URL-адресов без жестов (взаимодействия) пользователя.

Однако Даруткин обнаружил, что запуск встроенного расширения Chrome, такого как Chrome PDF Viewer, позволяет обойти это ограничение.

Константин Доруткин:

«Встроенный Chrome PDF Viewer является расширением, поэтому каждый раз, когда ваш браузер открывает файл PDF, он сбрасывает флаг защиты схемы от флуда. Открытие файла PDF перед открытием пользовательского URL-адреса делает эксплойт работоспособным»

Менеджер программы Microsoft Edge Эрик Лоуренс признал факт атаки, а инженеры Chromium и Microsoft работают над исправлением в  новом отчёте об ошибке .

Пока браузеры не добавят рабочие средства защиты от этой атаки, единственный способ предотвратить этот метод кросс-браузерного отслеживания — это использовать браузер на другом устройстве.

Ранее Startpack сообщил, что В Chrome для Windows появился собственный Sharing Hub. Google стремится упростить обмен URL-адресами между пользователями.

Startpack также подготовил список VPN-сервисов (Virtual Private Network). VPN предлагает дополнительный уровень безопасности, шифруя все данные, например, IP-адреса, которые передаются по сети. Это обеспечивает анонимность пользователя в сети и предотвращает утечку конфиденциальных бизнес-данных.

Особая рекомендация: Proton VPN — высокоскоростной швейцарский VPN, который гарантирует конфиденциальность пользовательских данных.

Полезная новость? Прокомментируйте её или кликните на значок "+" ниже!