新经网加州大学圣地亚哥分校和斯坦福大学的安全研究人员发现了四种揭示互联网用户浏览历史的新方法。黑客可以使用这些技术来了解用户在浏览网页时访问过哪些网站。
这些技术属于“历史嗅探”攻击类别,这一概念可追溯到21世纪初。但是,2018年在巴尔的摩举行的USENIX进攻性技术研讨会(WOOT)研究人员所展示的攻击可以在几秒钟内完成或“指纹”用户的在线活动,并可以在最新版本的主要网络浏览器中使用。
研究人员在他们的WOOT2018论文中开发的所有攻击都在GoogleChrome上运行。其中两个攻击也适用于其他一系列浏览器,从MozillaFirefox到MicrosoftEdge,以及各种以安全为中心的研究浏览器。唯一证明不受所有攻击影响的浏览器是Tor浏览器,它首先没有记录浏览历史记录。
“我希望我们发布的一些攻击的严重性将推动浏览器厂商重新审视他们如何处理历史数据,我很高兴看到来自Mozilla,Google和更广泛的万维网联盟(W3C)社区的人们已经加入这一点,“加州大学圣地亚哥分校Jacobs工程学院计算机科学助理教授,该论文的资深作者DeianStefan说。
“历史嗅探”:闻到你在网上的踪迹
大多数互联网用户现在都熟悉“网络钓鱼”;网络犯罪分子建立虚假网站,模仿银行,诱骗他们输入登录信息。网络钓鱼者越了解其潜在的受害者,就越有可能成功。例如,Chase客户在出现假Chase登录页面时被欺骗的可能性要大于网络钓鱼者伪装成美国银行的可能性。
在进行有效的历史嗅探攻击后,犯罪分子可以执行智能钓鱼计划,该计划自动将每个受害者与对应于其实际银行的伪造页面进行匹配。网络钓鱼者用他们的目标银行网站列表预加载攻击代码,并将其隐藏在例如普通的广告中。当受害者导航到包含攻击的页面时,代码将运行此列表,测试或“嗅探”受害者的浏览器,以获取用于访问每个目标站点的迹象。当其中一个网站测试为阳性时,网络钓鱼者可以将其受害者重定向到相应的伪造版本。
攻击越快,攻击者可以在合理的时间内“嗅探”目标站点列表的时间越长。最快的历史嗅探攻击已达到每秒数千个URL测试的速度,允许攻击者快速整理网上冲浪者在线活动的详细资料。除了网络钓鱼之外,犯罪分子还可以通过多种方式使这些敏感数据发挥作用:例如,通过勒索用户尴尬或妥协他们的浏览历史细节。
对于诸如营销和广告之类的目的,历史嗅探也可以由合法但不择手段的公司部署。加州大学圣地亚哥分校2010年的一项研究记录了以前已知的历史嗅探攻击技术的广泛商业滥用,然后由浏览器供应商修复。
计算机科学博士迈克尔史密斯说:“你有网络营销公司出现,兜售预打包,商业历史嗅探'解决方案',定位为分析工具。”加州大学圣地亚哥分校的学生和该论文的第一作者。这些工具旨在提供对竞争对手网站上客户客户活动的深入了解,以及广告定位的详细分析信息-但这些都是以客户隐私为代价的。
史密斯说:“虽然我们现在不相信这种情况正在发生,但今天可以通过滥用我们发现的缺陷来建立类似的间谍工具。”
新的攻击
研究人员以JavaScript代码的形式开发的攻击会导致Web浏览器根据网站是否被访问而表现不同。代码可以观察这些差异-例如,执行操作所花费的时间或处理某个图形元素的方式-来收集计算机的浏览历史记录。为了设计攻击,研究人员开发了一些功能,允许程序员使用层叠样式表(CSS)自定义其网页的外观-控制字体,颜色,背景等,以及用于改进Web代码的性能。
研究人员的四次攻击针对相对较新的浏览器功能中的缺陷。例如,一次攻击利用2017年添加到Chrome的功能,称为“CSSPaintAPI”,它允许网页提供自定义代码以绘制其视觉外观的一部分。使用此功能时,攻击会在Chrome重新呈现链接到特定目标网站网址的图片时以用户不可见的方式进行衡量。检测到重新呈现时,表示用户先前已访问过目标URL。“这次攻击会让攻击者每秒检查大约6,000个URL,并以惊人的速度开发用户浏览习惯的概况,”博士弗雷泽布朗说。斯坦福大学的学生,与史密斯密切合作。
虽然谷歌立即修补了这个漏洞-这是研究人员开发的最令人震惊的攻击-计算机科学家在他们的WOOT2018论文中描述了其他三种攻击,这些攻击不仅适用于Chrome,还适用于Firefox,Edge,InternetExplorer,但是对勇敢也是如此。Tor浏览器是唯一已知完全免疫所有攻击的浏览器,因为它有意避免存储有关用户浏览历史记录的任何信息。
随着新浏览器添加新功能,这些对隐私的攻击必然会重新出现。
建议的辩护
研究人员提出了对这些问题的大胆修复:他们认为浏览器应该设置明确的界限,控制用户的浏览历史如何用于显示来自不同站点的网页。信息泄漏的一个主要来源是根据用户是否访问过他们的目的地页面而将蓝色或紫色链接着色的机制,例如,点击Google搜索结果页面的人可以保留其位置。根据研究人员的模型,点击一个网站(例如谷歌)上的链接不会影响出现在另一个网站(例如,Facebook)上的链接的颜色。用户可能会向他们选择的某些网站授予例外情况。研究人员正在对此修复进行原型设计,并评估这种隐私意识浏览器的权衡。
