Уязвимости популярных браузеров могут использоваться для слежки за пользователями

Уязвимости популярных браузеров могут использоваться для слежки за пользователями

ЕРЕВАН, 30 августа. /АРКА/. Две уязвимости, присутствующие в большинстве популярных браузеров, могут использоваться для слежки за пользователями VPN и Tor.

Как сообщает securitylab.ru, исследователи безопасности обнаружили две уязвимости, влияющие на системы расширений, встроенные в большинство современных браузеров, в том числе в Firefox, Safari и всех браузеров, созданных на базе Chromium, таких как Chrome и Opera.

Недостатки системы могут быть использованы злоумышленниками для выявления установленных расширений пользователя с 100% точностью. Эта информация может использоваться для сбора данных о пользователе на основе его расширений и создания уникального отпечатка браузера. Таким образом можно идентифицировать анонимных пользователей, скрывающихся за VPN или Tor.

Первая уязвимость затрагивает систему расширений API WebExtensions, используемую в браузерах на базе Chromium (Google Chrome, Opera, Yandex Browser и Comodo Dragon), а также Firefox, Edge, Vivaldi и Brave.
API WebExtensions использует настройки контроля доступа в файле manifest.json, который присутствует в любом расширении. Этот файл не позволяет веб-сайтам осуществить проверки любых внутренних файлов и ресурсов расширения.

Исследователи обнаружили, что браузерам, использующим API-интерфейс Chromium WebExtensions, требуется больше времени для ответа веб-сайту при обращении к неустановленному расширению, по сравнению с установленным. Например, время выполнения следующих запросов будет существенно различаться:

chrome-extension://[fakeExtID]/[fakePath]

chrome-extension://[realExtID]/[fakePath]

Это позволило исследователям определить наличие установленных расширений в браузере пользователя, путем отправки двух запросов и анализа времени ответа. Исследователям успешно удалось идентифицировать все расширения, установленные в браузерах Chrome, Opera, Yandex Browser и Comodo Dragon.

Вторая уязвимость затрагивает модель расширений Safari. В отличие от Chromium, в Safari не используется файл manifest.json для ограничения доступа к файлам расширения. Вместо этого, браузер генерирует случайный путь для каждой сессии браузера.

Исследователям удалось заполучить данные, необходимые для угадывания случайного пути к расширению. Однако успешность атаки составила всего 40,5%. -0-

Читайте новости первыми и обсуждайте их — в нашем Telegram

10:34 30.08.2017

уязвимость, браузер, Chrome, Firefox, Safari
Новости Армении АМИ Новости-Армения


 

Главные новости

Вчера

11:25 Ucom обеспечил бесплатным интернетом четыре остановки в общинах Иджевана

09:39 "Авито" запустила нейросеть для создания объявления

25.04.2024

17:04 Операторы мобильной и интернет-связи в Армении за I квартал выплатили в госбюджет 8,6 млрд. драмов

Самые популярные

Team Telecom Armenia: заботу о природе мы начинали с себя
22/04 Team Telecom Armenia: заботу о природе мы начинали с себя
« Апрель 2024

Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
 
 
 
 
 
Вход на сайт
Логин:
Пароль:
Забыли пароль?

Регистрация
Если вы впервые на сайте, заполните, пожалуйста, регистрационную форму.

Войти на этот сайт вы можете, используя свою учетную запись на любом из предложенных ниже сервисов.

×
سكس ايطالى مترجم pornosexarab.com مساهدة افلام سكس desi cute girl nude pornthash.mobi sex photos photos photos pyra hentai freecartoonporn.info monokage no irisu bangali video xxx pornofantasy.net oka manusu xxxcp indianpornxvideos.net gadiwala
hard fucking xvideo pornlake.mobi hot sxi video indian voyeur hotindianporn.mobi romance with teacher xxx kashmiri girls onlyporn.mobi www.nodutu lokaya.lk desiporntubes erocum.info desi clean pussy prone xxx stripvidz.net hislust com
chudai wali video download desipornscandals.com sauth sax mms sex movie hdtporno.org xxx vedios kerala ssrmovies com kompoz2.com full hd bf sex pone video indianhottube.com new mms girl reshma video clip likeporn.mobi babaji sex video