E Toolkit gouf publizéiert deen eng Method implementéiert fir Add-ons z'entdecken déi am Chrome Browser installéiert sinn. Déi resultéierend Lëscht vun Add-ons kann benotzt ginn fir d'Genauegkeet vun der passiver Identifikatioun vun enger bestëmmter Browserinstanz ze erhéijen, a Kombinatioun mat aneren indirekten Indikatoren, wéi Bildschirmresolutioun, WebGL Features, Lëschte vun installéierten Plugins a Schrëften. Déi proposéiert Ëmsetzung kontrolléiert d'Installatioun vu méi wéi 1000 Add-ons. Eng Online Demonstratioun gëtt ugebueden fir Äre System ze testen.
D'Definitioun vun Add-ons gëtt duerch eng Analyse vun de Ressourcen vun den Add-ons gemaach, verfügbar fir extern Ufroen. Typesch enthalen Add-ons verschidde Begleedungsdateien, sou wéi Biller, déi am Add-on Manifest vun der web_accessible_resources Eegeschafte definéiert sinn. An der éischter Versioun vum Chrome Manifest war den Zougang zu Ressourcen net limitéiert an all Site konnt d'Ressourcen eroflueden. An der zweeter Versioun vum Manifest war den Zougang zu sou Ressourcen als Standard nëmme fir den Add-on selwer erlaabt. An der drëtter Versioun vum Manifest war et méiglech ze bestëmmen, wéi eng Ressourcen op wéi eng Add-ons, Domainen a Säiten kënne ginn.
Websäite kënnen d'Ressourcen, déi vun der Extensioun zur Verfügung gestallt ginn, mat der Fetch-Methode ufroen (zum Beispill "fetch('chrome-extension://okb....nd5/test.png')"), déi "falsch" zréckginn normalerweis bedeit datt den Add-on net installéiert ass. Fir en Add-on ze blockéieren fir d'Präsenz vun enger Ressource z'entdecken, generéieren e puer Add-ons e Verifizéierungstoken erfuerderlech fir Zougang zu der Ressource ze kréien. Fetch ruffen ouni en Token ze spezifizéieren klappt ëmmer.
Wéi et sech erausstellt, kann de Schutz vum Zougang zu Add-on Ressourcen ëmgaange ginn andeems Dir d'Ausféierungszäit vun der Operatioun schätzt. Trotz der Tatsaach datt Fetch ëmmer e Feeler zréckkënnt wann Dir ouni Token ufrot, ass d'Ausféierungszäit vun der Operatioun mat an ouni Add-on anescht - wann den Add-on präsent ass, dauert d'Ufro méi laang wéi wann den Add-on ass net installéiert. Andeems Dir d'Reaktiounszäit beurteelt, kënnt Dir d'Präsenz vun der Ergänzung ganz genee bestëmmen.
E puer Add-ons déi net extern zougänglech Ressourcen enthalen kënnen duerch zousätzlech Eegeschafte identifizéiert ginn. Zum Beispill kann de MetaMask Addon definéiert ginn andeems Dir d'Definitioun vun der window.ethereum Eegeschafte evaluéiert (wann den Addon net gesat ass, "typeof window.ethereum" gëtt de Wäert "ondefinéiert").
Source: opennet.ru