原标题:浏览器扩充漏洞可能导致资料外泄或用户曝光,Firefox、Chrome与Safari都受影响
示意图,与新闻事件无关。
研究人员发现Firefox、Safari及Chrome扩充程式机制出现漏洞,可能导致使用者的扩充程式被看光,致使以Tor或VPN匿名的用户身份曝光。?
西班牙德乌斯托大学研究人员Iskander△Sanchez-Rola指出,扩充程式和浏览器的密切关系使其成为明显的攻击目标,用来窃取资讯与密码、浏览上网活动记录等等。虽然浏览器也加入了防护方式,像是存取控制设定及随机URI(URI△Randomization)机制,但Sanchez-Rola及其同僚进行的一项研究显示,通过特定列举攻击(enumeration△attack)手法,可绕过主要浏览器的防护功能,致使资讯曝光。?
针对这些机制研究人员设计了破解方法。首先研究人员对浏览器存取控制设定发动计时旁路攻击(timing△side-channel),成功取得了浏览器中安装的完整扩充程式,而这种技两可以绕过所有主要浏览器的防护,包括Safari、Chrominum系列的浏览器如Chrome、Opera、Yandex、Comodo△Dragon及旧版Firefox等。?
第二种攻击法则是针对Safari的随机URI(URI△Randomization)保护机制而来。这个机制能确保使用者上的网站URL不会外泄。研究人员通过名为URI外泄(URI△leakage)的手法,对Safari扩充程式进行程式码静态分析,借此曝露出数百个扩充程式,包括Tor或VPN的随机URI,进而让骇客或情治机关得以辨识出使用者。他们的测试显示甚至能抓出40.5%的扩充程式URL。?
事实上,本篇文章公布时,这些漏洞都还未修补。研究人员表示希望能借由揭露浏览器的弱点,促使浏览器及扩充程式开发商讨论以及早催生防制措施。
相关:
示意图,与新闻事件无关。 市场调查机构comScore本周公布了今年6月针对美国智慧型手机用户所进行的调查报告,显示有51%的受访者在一个月内没有下载任何程式。在行动程式的下载行为上,纵使有51%的使用者单月不下载
Google开源语音命令资料集,网罗逾6万个语音档共30种语音命令
资料集搜集了数千名使用者念出的30种语音命令,包括了Yes、No、Up、Down等。 图片来源: Google Google上周开源了语音命令资料集( Speech△Commands△Dataset),可望加速开发人员打造支援语音命令的各种应用。此一
图片来源: Apple 苹果(Apple)在7月时才公布,将与中国贵州业者合作成立资料中心,提供中国用户iCloud服务,现在又宣布,将斥资13亿美元在美国爱荷华州再建造一座资料中心,且全面采用可再生能源,占地40万平方英尺
实时热点 中新网8月25日电 国家互联网信息办公室今日公布《互联网跟帖评论服务管理规定》,自2017年10月1日起施行。规定明确,跟帖评论服务提供者对注册用户进行...法制晚报·看法新闻(记者李文姬)今天上午,国家互联
图片来源: Google Google本周宣布,将允许Chrome用户在装置上同时执行不同的浏览器版本。过去Chrome用户虽然可安装不同的Chrome版本,像是正式版(Chrome△Stable)、测试版(Chrome△Beta)或是开发版(Chrome△Dev