浏览器“收藏夹”可以用作不可删除的“超级Cookie”来在线跟踪您

2021-02-10 03:21:01

网站图标是基本上每个网站都使用的东西之一,但没人想到。打开100个标签后,每个浏览器标签开头的小图标都会为您打开的窗口提供徽标。 Twitter使用蓝色的小鸟,Gmail是红色的邮件图标,而Wikipedia是加粗的W。这是一个方便的速记,可让我们所有人浏览不可能的选项卡情况。

不过,据研究人员称,这些图标还可能是一个安全漏洞,它可以使网站跟踪您的活动并绕过VPN,隐身浏览状态以及其他传统的在线隐藏活动的方法。

跟踪方法称为Supercookie,是德国软件设计师Jonas Strehle的工作。

“ Supercookie使用网站图标为网站访问者分配唯一的标识符。与传统的跟踪方法不同,该ID几乎可以永久存储,并且用户不容易清除。” Strehle在他的Github上说。 “跟踪方法甚至可以在浏览器的隐身模式下工作,并且无法通过刷新缓存,关闭浏览器或重新启动系统,使用VPN或安装AdBlockers来清除。

Strehle的Github解释说,在阅读了芝加哥伊利诺伊大学关于该主题的研究论文后,他对使用favicon跟踪用户的想法产生了兴趣。

该论文解释说:“现代浏览器的复杂性和功能丰富的特性通常导致部署看似无害的功能,这些功能很容易被对手滥用。” “在本文中,我们介绍了一种新颖的跟踪机制,该机制滥用了一个简单但无所不在的浏览器功能:收藏夹图标。”

需要明确的是,这只是概念验证,而不是Strehle在野外发现的东西。 Strehle的supercookie程序(使用Cookie Monster图标)是对大学研究人员描述的概念的证明。

“必须使浏览器易于访问收藏夹图标。因此,它们被缓存在系统上一个单独的本地数据库中,称为favicon缓存(F-Cache),” Strehle的网站说。

F-Cache条目包含有关用户所处位置的大量数据,所有这些功能都为向您的浏览窗口提供了一个快速的小图标。

“当用户访问网站时,浏览器通过查找所请求网页的快捷图标链接引用的来源来检查是否需要图标,” Strehle说。 “浏览器最初会在本地F缓存中检查包含活动网站URL的条目。如果存在网站图标条目,则将从缓存中加载该图标,然后显示该图标。但是,如果没有条目(例如,因为从未在此特定域下加载过图标图标),或者缓存中的数据已过期,则浏览器会向服务器发出GET请求以加载网站网站图标。”

该数据使Web服务器可以了解有关其访问者的信息。 “通过结合浏览器的特定URL路径的已交付和未交付图标的状态,可以为客户端分配一个唯一的模式(标识号),” Strehle说。 “当重新加载网站时,Web服务器可以使用客户端发送的针对丢失图标的网络请求来重建标识号,从而标识浏览器。”

Strehle建立了一个网站,该网站展示了使用网站图标追踪用户在线有多么容易。他说,这是出于研究目的,已经在线发布了他的源代码,并详细解释了超级cookie在其网站上的工作方式。

Favicon漏洞最可怕的部分是它如何轻松绕过人们用来保持私人在线状态的传统方法。根据Strehle的说法,超级cookie绕过了Chrome,Safari,Edge和Firefox的“私有”模式。清除缓存,在VPN上冲浪或使用广告拦截器都不会阻止恶意网站图标跟踪您。

伊利诺伊大学的研究人员得出了类似的结论。他们说:“我们发现,将基于favicon的跟踪技术与不会随时间变化的不变的浏览器指纹属性相结合,可以使网站在2秒内重建一个32位跟踪标识符。” “由于攻击的严重性,我们建议更改浏览器的网站图标缓存行为,以防止这种形式的跟踪,并已将我们的发现透露给当前正在研究适当缓解策略的浏览器供应商。”

签署VICE新闻通讯,即表示您同意接收来自VICE的电子通讯,其中有时可能包含广告或赞助内容。