„Scheme flooding“ umožňuje webovým serverům sledovat uživatele v různých prohlížečích

browser security

Chyba, která umožňuje prohlížečům výčet aplikací na zařízení, ohrožuje anonymitu mezi prohlížeči v prohlížečích Chrome, Firefox, Microsoft Edge, Safari a dokonce i Tor.

Výzkumník v oblasti zabezpečení objevil chybu zabezpečení, která umožňuje webům sledovat uživatele v různých prohlížečích pro stolní počítače – včetně Apple Safari, Google Chrome, Microsoft Edge, Mozilla Firefox a Tor – což představuje hrozbu pro anonymitu mezi prohlížeči.

Tato chyba, která se nazývá „scheme flooding“, „umožňuje webům spolehlivě identifikovat uživatele v různých prohlížečích pro stolní počítače a propojit jejich identity,“ uvedl na blogu Konstantin Darutkin, výzkumný pracovník a vývojář společnosti FingerprintJS.

Tato chyba zabezpečení používá jako schéma útoku vlastní schémata adres URL – proto jeho název, vysvětlil v příspěvku. Může někomu přiřadit trvalý jedinečný identifikátor pomocí informací o nainstalovaných aplikacích v počítači dané osoby – i když přepíná prohlížeče, používá anonymní režim nebo přistupuje k internetu prostřednictvím VPN.

“Anonymita mezi prohlížeči je něco, co i uživatel internetu s vědomím soukromí může považovat za samozřejmost,” uvedl Darutkin ve svém příspěvku. “Web využívající zranitelnost způsobenou zaplavením systému by mohl vytvořit stabilní a jedinečný identifikátor, který by tyto identity procházení mohl propojit.”

Jak to funguje
Tato chyba zabezpečení umožňuje útočníkovi určit, které aplikace si kdo nainstaloval, a to vygenerováním 32bitového cross-browser identifikátoru zařízení, který může web použít k testování seznamu 32 populárních aplikací. Tento proces identifikace – který kontroluje, zda je každá z nich nainstalována v počítači nebo ne – trvá několik sekund a funguje v operačních systémech Windows, Mac a Linux OS.

K dosažení tohoto ověření mohou prohlížeče používat vestavěné vlastní obslužné rutiny schémat URL – známé také jako přímé odkazy, které jsou široce používány v mobilních zařízeních, ale jsou k dispozici také v prohlížečích pro stolní počítače, vysvětlil Darutkin. Tato funkce je znázorněna takto: Pokud má někdo nainstalovaný Skype a do adresního řádku prohlížeče zadá „skype://“, prohlížeč se otevře a zeptá se, zda chce uživatel spustit Skype, řekl.

“Jakákoli aplikace, kterou si nainstalujete, si může zaregistrovat vlastní schéma, aby ji ostatní aplikace mohly otevřít,” řekl Darutkin.

Využití této chyby zabezpečení má čtyři kroky:

  • Připravte seznam schémat adres URL aplikací k testování;
  • Přidejte na web skript, který otestuje každou aplikaci;
  • Toto pole použijte k vygenerování trvalého identifikátoru mezi prohlížeči;
  • A jako možnost získat více informací o návštěvnících webu můžete pomocí nainstalovaných dat aplikace pomocí algoritmů odhadnout zaměstnání, zájmy a věk daného uživatele.

“Skutečná implementace exploitu se liší podle prohlížeče, základní koncept je však stejný,” vysvětlil Darutkin. “Funguje to tak, že požádáte prohlížeč, aby ve vyskakovacím okně zobrazil potvrzovací dialog. Potom kód JavaScript dokáže zjistit, zda se právě otevřelo vyskakovací okno, a na základě toho zjistit přítomnost aplikace.“

Exploity specifické pro prohlížeč
Zatímco všechny dobře známé prohlížeče mají obecně zavedeny mechanismy, které zabraňují zneužití takové chyby, všechny zasažené mají slabiny, které umožňují scheme flooding, vysvětlil Darutkin. Dodal, že Chrome nabízí určitou ochranu proti zranitelnosti a jeho vývojáři se zdají být jediní, kdo zatím uznal, že existuje.

Zdroj: threatpost.com

1 komentář na “„Scheme flooding“ umožňuje webovým serverům sledovat uživatele v různých prohlížečích”

  1. Pingback: „Scheme flooding“ umožňuje webovým serverům sledovat uživatele v různých prohlížečích | AVERIA.NEWS

Napsat komentář