Създателите на онлайн услугата FingerprintJS, базирана на едноименната JavaScript библиотека откриха уязвимост, която дава възможност на сайтовете да сканират потребителските устройства, независимо какъв браузър използват, включително Chrome, Firefox, Microsoft Edge, Safari и дори Tor. Новата технология се базира на възможността на браузърите да стартират външни приложения, които са инсталирани в операционната система – месинджъри, плеъри и т.н. Така например, при отварянето на линк за включване в Zoom конференция браузърът предлага стартирането на съответния клиент. Това дава възможност с помощта на скрипт да се създаде уникален идентификатор на използваното устройство и всъщност да се извършва следене и мониторинг на самия потребител.

Счита се, че максимална защита на конфиденциалността предлага браузъра Tor, но сега стана ясно, че и той не гарантира пълната анонимност. За да се извърши кросбраузърно проследяване, сайтът създава профил на приложенията, които са инсталирани в компютърното устройство и се опитва да ги стартира с помощта на специални URL адреси. По този начин се прави проверка, дали дадено приложение е инсталирано в системата.

Тъй като инсталираните в компютърните устройства приложения се държат по еднакъв начин, независимо от използвания браузър, това дава възможност за следене действията на потребителя както в Google Chrome и Firefox, така и в анонимния Tor. С помощта на този сценарий е възможно да се проследяват 24 приложения: Skype, Spotify, Zoom, vscode, Epic Games, Telegram, Discord, Slack, Steam, Battle.net, Xcode, NordVPN, Sketch, TeamViewer, Microsoft Word, WhatsApp, Postman, Adobe, Messenger, Figma, Hotspot Shield, ExpressVPN, Notion и iTunes. Много потребители навярно имат инсталирани няколко от тези приложения, което дава възможност за съставянето на уникален ID.

От всички браузъри, единствено Chrome има защита от подобни атаки, но някои разширения за браузъра, като например Chrome PDF Viewer дават възможност да се заобиколи това ограничение.

Засега нито един браузър не предлага пълна защита срещу тази атака. Създателите на Chromium и Microsoft Edge вече работят върху решението на този проблем.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *