【JavaScript模板攻擊暴露新瀏覽器指紋向量】

文章插圖
學者們提出了一種可以揭示用戶瀏覽器數據的新技術 。足以克服反指紋系統和瀏覽器擴展保護隱私，并提供了一種通過瀏覽器和底層平臺識別用戶的方法，這是以前從未做過的 。
這項被稱為“JavaScript模板攻擊”的新技術，圍繞JavaScript屬性的概念和瀏覽器引擎返回的基本JavaScript查詢的默認值來尋找屬性值 。
這三位來自奧地利格拉茨科技大學的研究人員創建了一個系統，可以從用戶的環境中自動查詢和收集數千個JavaScript屬性及其默認值 。
基本思想是自動執行這些查詢 ， 然后輪換瀏覽器、操作系統、硬件平臺和瀏覽器擴展，為每個環境/安裝收集所有已知JavaScript屬性的默認值 。
然后，研究人員為每個環境的默認屬性值構建了一個矩陣，并為每個可能的檢測場景創建了一個模板——即JavaScript模板攻擊的名稱——列出了與環境相關的所有屬性值 。
研究團隊表示，這些模板可以用于在以后掃描訪問用戶，并根據用戶瀏覽器返回的默認屬性值檢測特定的環境細節 。
這些數據可用于創建用戶配置文件(用于流量/用戶指紋)，以打破用戶的匿名性，或用于欺詐手段，如細化零日攻擊的目標 。
研究團隊表示 ， 測試表明，他們的方法可以區分所有40種測試環境；將瀏覽器分成精確的版本；根據已安裝的擴展如何修改本機屬性值來確定它們；甚至確定單個分機設置；確定極其技術性的細節，比如CPU供應商和實際操作系統(而不是用戶代理可以偽造的操作系統)；確定是否存在瀏覽器私有模式；即使瀏覽器是從虛擬機運行的 。
這些信息可能有助于跟蹤，或者更有助于改進漏洞 。這完全取決于威脅行為者試圖做什么，但結論是這種方法足夠可靠，可以工作，甚至可以繞過隱私增強的環境，例如android上的tor 。
總之，JavaScript模板攻擊非常強大，因為研究人員還發現了大量沒有被官方記錄的JavaScript屬性，從而提高了他們方法的準確性 。
此外，由于瀏覽器制造商傾向于使用新的WebAPI來改進其軟件——所有這些都可以通過JavaScript來控制——因此JavaScript屬性的數量在過去幾年中一直在增加，并且有望增加，并將進一步提高JavaScript模板攻擊的準確性 。
研究團隊表示，他們希望瀏覽器制造商和隱私擴展開發者能夠利用他們的工作來揭示JavaScript屬性值之間依賴環境的差異 ， 從而改進他們的產品，并為用戶提供識別指紋的任何機會 。

• 第二次SIM卡攻擊可以發送文本和電話位置數據
• 科技要聞：在家工作讓你容易受到黑客的攻擊
• 壞賬損失 壞賬損失股東會決議模板
• 科技要聞：Twitter譴責史詩般的黑客攻擊電話矛網絡釣魚計劃
• 小組成員介紹ppt模板 小組成員介紹ppt模板下載
• 初中數學手抄報模板 初中數學手抄報模板大全
• 崗位職責怎么寫模板
• 前程無憂簡歷模板 前程無憂簡歷模板導入成功圖片
• 落戶申請書怎么寫 落戶申請書怎么寫模板
• 開會通知怎么寫 開會通知怎么寫模板