Brave瀏覽器隱私團隊發現了一個新類型的追蹤漏洞,利用該漏洞發動的攻擊被稱為泳池派對攻擊(Pool-party Attacks)。第三方追蹤器能夠使用瀏覽器有限但是共享的資源集合,來創建側通道,追蹤器便能使用這些側通道來跨站追蹤用戶,規避瀏覽器的隱私保護功能。目前已知所有瀏覽器都存在該漏洞,Brave在接下來幾周會釋出相關更新,防範用戶遭受泳池派對攻擊。
過去已經有部分論文,發表類似的攻擊研究,而泳池派對攻擊的發現,建立在過去的研究成果,更完整呈現該類攻擊的全貌。泳池派對攻擊的嚴重性,遠超過之前的認知,嚴重且受影響範圍也非常廣,官方提到,更令人擔心的是,泳池派對攻擊可以針對Gecko引擎瀏覽器,透過用戶檔案來追蹤用戶,並且將隱私瀏覽和一般瀏覽關聯起來,暴露隱私瀏覽者的身份。
多數瀏覽器原來都有防跨站追蹤的保護機制,無論是Brave、Firefox、Safari還是Tor Browser,皆使用分區(Partitioning)的技術,來阻止追蹤器跨網站追蹤使用者,也就是防止網站上的追蹤器,在用戶瀏覽另一個網站時,關聯兩次瀏覽為同一使用者,能夠避免用戶受到最常見的跨網站追蹤。
雖然分區功能並非萬能,無法阻擋特定的追蹤方法,但仍是保護網頁隱私有用且重要的技術。而Brave新發現的泳池派對攻擊,也能使分區保護失效,網站可以繞過瀏覽器中基於分區的隱私保護,Brave隱私團隊把利用共享資源來跨網站邊界進行溝通的攻擊手法,稱為泳池派對攻擊,在他們的研究之中,有三點新發現。
第一,過去的研究工作只發現了泳池派對攻擊中的特定案例,事實上瀏覽器充斥這類攻擊漏洞,第二,這類攻擊所產生的影響,實際比過去研究大上許多,網站可利用泳池派對攻擊漏洞,在網站之間傳遞任意資料,第三,泳池派對攻擊不只是理論上可執行的攻擊手法,而是已經可實際應用的隱私威脅。
目前所有熱門瀏覽器都受到泳池派對攻擊的威脅,只要瀏覽器所提供的API滿足特定功能,就能夠被追蹤器用於跨站追蹤,像是當網站資源使用受到限制,也就是網站從資源池中請求資源,直到達到限制,網站便無法存取更多資源,又或是資源沒有分區,不同的網站都可以從同一個有限的資源池要求資源,甚至是網站可不受限制地消耗資源池的資源,這些API都可被用於泳池派對攻擊。
Brave隱私團隊解釋,泳池派對攻擊是一種存在於所有瀏覽器引擎中的側通道攻擊,比多數側通道容易被使用,由於大多數的側通道都使用CPU快取、記憶體快取等共享資源,在實務中,因為這些資源雜訊過多而難以被用來通訊,相對來說,泳池派對攻擊的目標,是由瀏覽器管理,且特定於瀏覽器的共享資源,雜訊要少得多,很容易用於通訊。
要防禦泳池派對攻擊並不簡單,因為電腦一定會限制提供給網站的資源,電腦擁有有限的記憶體和磁碟空間,攻擊者可以利用這些限制進行泳池派對攻擊。雖然瀏覽器無法從根本解決問題,但是卻可以讓這項攻擊難以實作,像是在網頁出現異常行為時,便自動關閉瀏覽器。
Brave隱私團隊在論文中提出的解決方法,主要是解除對高頻寬資源使用的限制,當追蹤器需要消耗夠多的資源,來使系統產生飢餓現象,則使用者便會注意到這個攻擊,停止瀏覽發動泳池派對攻擊的網站,就能立刻阻止攻擊。
Brave現在正積極部署第一套泳池派對攻擊防禦機制,在接下來數周會陸續推送更新給用戶,同時Brave也正與其他瀏覽器合作,以保護網路使用者免受相關攻擊影響。
線