Brave瀏覽器隱私團隊發現了一個新類型的追蹤漏洞,利用該漏洞發動的攻擊被稱為泳池派對攻擊(Pool-party Attacks)。第三方追蹤器能夠使用瀏覽器有限但是共享的資源集合,來創建側通道,追蹤器便能使用這些側通道來跨站追蹤用戶,規避瀏覽器的隱私保護功能。目前已知所有瀏覽器都存在該漏洞,Brave在接下來幾周會釋出相關更新,防範用戶遭受泳池派對攻擊。
過去已經有部分論文,發表類似的攻擊研究,而泳池派對攻擊的發現,建立在過去的研究成果,更完整呈現該類攻擊的全貌。泳池派對攻擊的嚴重性,遠超過之前的認知,嚴重且受影響範圍也非常廣,官方提到,更令人擔心的是,泳池派對攻擊可以針對Gecko引擎瀏覽器,透過用戶檔案來追蹤用戶,並且將隱私瀏覽和一般瀏覽關聯起來,暴露隱私瀏覽者的身份。
多數瀏覽器原來都有防跨站追蹤的保護機制,無論是Brave、Firefox、Safari還是Tor Browser,皆使用分區(Partitioning)的技術,來阻止追蹤器跨網站追蹤使用者,也就是防止網站上的追蹤器,在用戶瀏覽另一個網站時,關聯兩次瀏覽為同一使用者,能夠避免用戶受到最常見的跨網站追蹤。
雖然分區功能並非萬能,無法阻擋特定的追蹤方法,但仍是保護網頁隱私有用且重要的技術。而Brave新發現的泳池派對攻擊,也能使分區保護失效,網站可以繞過瀏覽器中基於分區的隱私保護,Brave隱私團隊把利用共享資源來跨網站邊界進行溝通的攻擊手法,稱為泳池派對攻擊,在他們的研究之中,有三點新發現。
第一,過去的研究工作只發現了泳池派對攻擊中的特定案例,事實上瀏覽器充斥這類攻擊漏洞,第二,這類攻擊所產生的影響,實際比過去研究大上許多,網站可利用泳池派對攻擊漏洞,在網站之間傳遞任意資料,第三,泳池派對攻擊不只是理論上可執行的攻擊手法,而是已經可實際應用的隱私威脅。
目前所有熱門瀏覽器都受到泳池派對攻擊的威脅,只要瀏覽器所提供的API滿足特定功能,就能夠被追蹤器用於跨站追蹤,像是當網站資源使用受到限制,也就是網站從資源池中請求資源,直到達到限制,網站便無法存取更多資源,又或是資源沒有分區,不同的網站都可以從同一個有限的資源池要求資源,甚至是網站可不受限制地消耗資源池的資源,這些API都可被用於泳池派對攻擊。
Brave隱私團隊解釋,泳池派對攻擊是一種存在於所有瀏覽器引擎中的側通道攻擊,比多數側通道容易被使用,由於大多數的側通道都使用CPU快取、記憶體快取等共享資源,在實務中,因為這些資源雜訊過多而難以被用來通訊,相對來說,泳池派對攻擊的目標,是由瀏覽器管理,且特定於瀏覽器的共享資源,雜訊要少得多,很容易用於通訊。
要防禦泳池派對攻擊並不簡單,因為電腦一定會限制提供給網站的資源,電腦擁有有限的記憶體和磁碟空間,攻擊者可以利用這些限制進行泳池派對攻擊。雖然瀏覽器無法從根本解決問題,但是卻可以讓這項攻擊難以實作,像是在網頁出現異常行為時,便自動關閉瀏覽器。
Brave隱私團隊在論文中提出的解決方法,主要是解除對高頻寬資源使用的限制,當追蹤器需要消耗夠多的資源,來使系統產生飢餓現象,則使用者便會注意到這個攻擊,停止瀏覽發動泳池派對攻擊的網站,就能立刻阻止攻擊。
Brave現在正積極部署第一套泳池派對攻擊防禦機制,在接下來數周會陸續推送更新給用戶,同時Brave也正與其他瀏覽器合作,以保護網路使用者免受相關攻擊影響。
精選專案.網頁設計.RWD響應式網站.行動版網站 / 服務類
網站技術:PHP . Javascript/MySql
提供韓國空運及海運的代購運輸服務,並擁有高效可靠的倉儲管理系統,為客戶打造快速便捷的服務。對於需要韓國商品的族群提供國際運輸服務,透過高效率的代購服務流程將商品快速送到客戶手上。
企業形象網站 / 服務類
網站技術:PHP/MySql
精選專案.網頁設計.RWD響應式網站.行動版網站.企業形象網站 / 醫療衛生類
網站技術:PHP . Javascript
提供專業輔具工具來幫助行動不便的民眾,協助他們提高自主生活同時減輕照護者負擔。 針對經常會搬運工作的用戶也有推出搬運使用的輔助裝,減少搬運人員腰部的負擔。 有需要的民眾可以在網站上申請體驗喔!!
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策