研究人员发现Firefox、Safari及Chrome扩充程序机制出现漏洞,可能导致用户的扩充程序被看光,致使以Tor或VPN匿名的用户身份曝光。
西班牙德乌斯托大学研究人员IskanderSanchez-Rola指出,扩充程序和浏览器的密切关系使其成为明显的攻击目标,用来窃取信息与密码、浏览上网活动记录等等。虽然浏览器也加入了防护方式,像是访问控制设定及随机URI(URIRandomization)机制,但Sanchez-Rola及其同僚进行的一项研究显示,透过特定列举攻击(enumerationattack)手法,可绕过主要浏览器的防护功能,致使信息曝光。
文章出自:sbf888胜博发 http://www.feburman.com/
针对这些机制研究人员设计了破解方法。首先研究人员对浏览器访问控制设定发动计时旁路攻击(timingside-channel),成功取得了浏览器中安装的完整扩充程序,而这种技俩可以绕过所有主要浏览器的防护,包括Safari、Chrominum系列的浏览器如Chrome、Opera、Yandex、ComodoDragon及旧版Firefox等。
第二种攻击法则是针对Safari的随机URI(URIRandomization)保护机制而来。这个机制能确保使用者上的网站URL不会外泄。研究人员透过名为URI外泄(URIleakage)的手法,对Safari扩充程序进行程序代码静态分析,藉此曝露出数百个扩充程序,包括Tor或VPN的随机URI,进而让黑客或情治机关得以辨识出使用者。他们的测试显示甚至能抓出40.5%的扩充程序URL。
事实上,本篇文章公布时,这些漏洞都还未修补。研究人员表示希望能藉由揭露浏览器的弱点,促使浏览器及扩充程序开发商讨论以及早催生防制措施。
1424
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
