Исследователи разработали способ отслеживать пользователя в разных браузерах на одном компьютере, запрашивая установленные на устройстве приложения.
Определенные приложения при установке создают настраиваемые схемы URL-адресов, которые браузер может использовать для запуска URL-адреса в определенном приложении.
Например, настраиваемая схема URL-адресов для веб-конференции Zoom - zoommtg: //, которая при открытии предложит браузеру запустить клиент Zoom, как показано ниже.
Приложение, открытое через обработчик URL-адресов клиента.
Приложение, открытое через обработчик URL-адресов клиента.
Существует более сотни различных обработчиков URL-адресов, настраиваемых приложениями, включая Slack, Skype, Windows 10 и даже Steam.
Кроссбраузерное отслеживание с использованием схем URL
Исследователь одного из самых известных скриптов снятия отпечатков пальцев, FingerprintJS , обнаружил уязвимость, которая позволяет веб-сайту отслеживать пользователя устройства между различными браузерами, включая Chrome, Firefox, Microsoft Edge, Safari и даже Tor.
«Кроссбраузерная анонимность - это то, что даже сознательный интернет-пользователь может считать само собой разумеющимся. Браузер Tor, как известно, предлагает максимальную защиту конфиденциальности, хотя из-за низкой скорости соединения и проблем с производительностью на некоторых веб-сайтах пользователи могут рассчитывать на меньшее. анонимные браузеры для ежедневного просмотра веб -страниц », - объясняет новый отчет об уязвимости Константина Даруткина из FingerprintJS.
«Они могут использовать Safari, Firefox или Chrome для некоторых сайтов и Tor для сайтов, на которых они хотят оставаться анонимными. Веб-сайт, использующий уязвимость схемы лавинной рассылки, может создать стабильный и уникальный идентификатор, который может связать эти идентификаторы просмотра вместе».
Чтобы выполнить кросс-браузерное отслеживание с использованием схемы лавинной рассылки, веб-сайт создает профиль приложений, установленных на устройстве, пытаясь открыть их известные обработчики URL-адресов и проверяя, запускает ли браузер запрос.
Если запускается запрос на открытие приложения, можно предположить, что конкретное приложение установлено. Проверяя различные обработчики URL-адресов, сценарий может использовать обнаруженные приложения для создания уникального профиля для вашего устройства.
Поскольку установленные приложения на устройстве одинаковы независимо от используемого вами браузера, это может позволить сценарию отслеживать использование браузера пользователем как в Google Chrome, так и в анонимизирующем браузере, таком как Tor.
Чтобы проверить эту уязвимость, мы посетили демонстрационный сайт Даруткина по адресу schemeflood.com с Microsoft Edge, где сценарий запускает обработчики URL-адресов для различных приложений, чтобы определить, установлены ли они.
По завершении в моем профиле был показан уникальный идентификатор, который также был одинаковым для тестов с использованием разных браузеров на моем ПК, включая Firefox, Google Chrome и Tor.
ID, созданный для моего устройства
ID, созданный для моего устройства
Уязвимость схемы Даруткина в настоящее время проверяет следующие двадцать четыре приложения: Skype, Spotify, Zoom, vscode, Epic Games, Telegram, Discord, Slack, Steam, Battle.net, Xcode, NordVPN, Sketch, Teamviewer, Microsoft Word, WhatsApp, Postman, Adobe, Messenger, Figma, Hotspot Shield, ExpressVPN, Notion и iTunes.
Возможно, что у нескольких пользователей может быть одна и та же комбинация установленных программ, что приведет к одному и тому же идентификатору профиля.
Существующие меры по снижению риска можно обойти
Из четырех основных браузеров, протестированных Darutkin, только Google Chrome ранее добавлял средства защиты для предотвращения этого типа атак, предотвращая многократные попытки использования обработчиков URL-адресов без жестов (взаимодействия) пользователя.
Однако Даруткин обнаружил, что запуск встроенного расширения Chrome, такого как Chrome PDF Viewer, позволяет обойти это ограничение.
«Встроенный Chrome PDF Viewer является расширением, поэтому каждый раз, когда ваш браузер открывает файл PDF, он сбрасывает флаг защиты схемы от флуда. Открытие файла PDF перед открытием пользовательского URL-адреса делает эксплойт работоспособным», - объясняет Даруткин.
Менеджер программы Microsoft Edge Эрик Лоуренс признал факт атаки, а инженеры Chromium и Microsoft работают над исправлением в новом отчете об ошибке .
Пока браузеры не добавят рабочие средства защиты от этой атаки, единственный способ предотвратить этот метод кросс-браузерного отслеживания - это использовать браузер на другом устройстве.
Перевод Google
Bleeping Computer
Определенные приложения при установке создают настраиваемые схемы URL-адресов, которые браузер может использовать для запуска URL-адреса в определенном приложении.
Например, настраиваемая схема URL-адресов для веб-конференции Zoom - zoommtg: //, которая при открытии предложит браузеру запустить клиент Zoom, как показано ниже.
Приложение, открытое через обработчик URL-адресов клиента.
Приложение, открытое через обработчик URL-адресов клиента.
Существует более сотни различных обработчиков URL-адресов, настраиваемых приложениями, включая Slack, Skype, Windows 10 и даже Steam.
Кроссбраузерное отслеживание с использованием схем URL
Исследователь одного из самых известных скриптов снятия отпечатков пальцев, FingerprintJS , обнаружил уязвимость, которая позволяет веб-сайту отслеживать пользователя устройства между различными браузерами, включая Chrome, Firefox, Microsoft Edge, Safari и даже Tor.
«Кроссбраузерная анонимность - это то, что даже сознательный интернет-пользователь может считать само собой разумеющимся. Браузер Tor, как известно, предлагает максимальную защиту конфиденциальности, хотя из-за низкой скорости соединения и проблем с производительностью на некоторых веб-сайтах пользователи могут рассчитывать на меньшее. анонимные браузеры для ежедневного просмотра веб -страниц », - объясняет новый отчет об уязвимости Константина Даруткина из FingerprintJS.
«Они могут использовать Safari, Firefox или Chrome для некоторых сайтов и Tor для сайтов, на которых они хотят оставаться анонимными. Веб-сайт, использующий уязвимость схемы лавинной рассылки, может создать стабильный и уникальный идентификатор, который может связать эти идентификаторы просмотра вместе».
Чтобы выполнить кросс-браузерное отслеживание с использованием схемы лавинной рассылки, веб-сайт создает профиль приложений, установленных на устройстве, пытаясь открыть их известные обработчики URL-адресов и проверяя, запускает ли браузер запрос.
Если запускается запрос на открытие приложения, можно предположить, что конкретное приложение установлено. Проверяя различные обработчики URL-адресов, сценарий может использовать обнаруженные приложения для создания уникального профиля для вашего устройства.
Поскольку установленные приложения на устройстве одинаковы независимо от используемого вами браузера, это может позволить сценарию отслеживать использование браузера пользователем как в Google Chrome, так и в анонимизирующем браузере, таком как Tor.
Чтобы проверить эту уязвимость, мы посетили демонстрационный сайт Даруткина по адресу schemeflood.com с Microsoft Edge, где сценарий запускает обработчики URL-адресов для различных приложений, чтобы определить, установлены ли они.
По завершении в моем профиле был показан уникальный идентификатор, который также был одинаковым для тестов с использованием разных браузеров на моем ПК, включая Firefox, Google Chrome и Tor.
ID, созданный для моего устройства
ID, созданный для моего устройства
Уязвимость схемы Даруткина в настоящее время проверяет следующие двадцать четыре приложения: Skype, Spotify, Zoom, vscode, Epic Games, Telegram, Discord, Slack, Steam, Battle.net, Xcode, NordVPN, Sketch, Teamviewer, Microsoft Word, WhatsApp, Postman, Adobe, Messenger, Figma, Hotspot Shield, ExpressVPN, Notion и iTunes.
Возможно, что у нескольких пользователей может быть одна и та же комбинация установленных программ, что приведет к одному и тому же идентификатору профиля.
Существующие меры по снижению риска можно обойти
Из четырех основных браузеров, протестированных Darutkin, только Google Chrome ранее добавлял средства защиты для предотвращения этого типа атак, предотвращая многократные попытки использования обработчиков URL-адресов без жестов (взаимодействия) пользователя.
Однако Даруткин обнаружил, что запуск встроенного расширения Chrome, такого как Chrome PDF Viewer, позволяет обойти это ограничение.
«Встроенный Chrome PDF Viewer является расширением, поэтому каждый раз, когда ваш браузер открывает файл PDF, он сбрасывает флаг защиты схемы от флуда. Открытие файла PDF перед открытием пользовательского URL-адреса делает эксплойт работоспособным», - объясняет Даруткин.
Менеджер программы Microsoft Edge Эрик Лоуренс признал факт атаки, а инженеры Chromium и Microsoft работают над исправлением в новом отчете об ошибке .
Пока браузеры не добавят рабочие средства защиты от этой атаки, единственный способ предотвратить этот метод кросс-браузерного отслеживания - это использовать браузер на другом устройстве.
Перевод Google
Bleeping Computer
