Grupp ta 'riċerkaturi mill-Università Teknika ta' Graz (l-Awstrija), magħrufa qabel għall-iżvilupp ta 'metodi ta' attakk , и , Informazzjoni dwar teknika ġdida ta 'analiżi tal-kanal ta' parti terza li tippermettilek tiddetermina l-verżjoni eżatta tal-browser, is-sistema operattiva użata, l-arkitettura tas-CPU u l-użu ta 'add-ons biex tiġġieled l-identifikazzjoni moħbija.
Biex tiddetermina dawn il-parametri, huwa biżżejjed li tħaddem kodiċi JavaScript ippreparat minn riċerkaturi fil-browser. Fil-prattika, il-metodu jista 'jintuża mhux biss bħala sors addizzjonali għall-identifikazzjoni indiretta tal-utent, iżda wkoll biex jiddetermina l-parametri tal-ambjent tas-sistema għall-użu mmirat ta' jisfrutta, b'kont meħud tal-OS, l-arkitettura u l-browser. Il-metodu huwa effettiv ukoll meta tuża browsers li jimplimentaw mekkaniżmi ta 'imblukkar ta' identifikazzjoni moħbija, bħal Tor Browser. Prototip tal-kodiċi tas-sors bl-implimentazzjoni tal-metodu taħt il-liċenzja MIT.
Id-determinazzjoni ssir fuq il-bażi tal-identifikazzjoni tal-mudelli tal-istat tal-proprjetà f'JavaScript li huma karatteristiċi ta 'browsers differenti u l-karatteristiċi tal-ħin tal-eżekuzzjoni tal-operazzjonijiet, skont il-karatteristiċi tal-JIT, CPU u mekkaniżmi tal-allokazzjoni tal-memorja. Id-definizzjoni tal-proprjetajiet issir billi tiġġenera lista tal-oġġetti kollha aċċessibbli minn JavaScript. Kif irriżulta, in-numru ta 'oġġetti jikkorrelata direttament mal-magna tal-browser u l-verżjoni tagħha.
funzjoni getProperties(o) {
riżultat var = [];
filwaqt li (o !== null) {
riżultat = result.concat(Reflect.ownKeys(o));
o = Object.getPrototypeOf(o);
}
ir-riżultat tar-ritorn;
}
Pereżempju, għal Firefox id-dokumentazzjoni tiddikjara appoġġ għal 2247 proprjetajiet, filwaqt li n-numru attwali ta' proprjetajiet definiti, inklużi dawk mhux dokumentati, huwa 15709 (f'Tor Browser - 15639), għal Chrome 2698 proprjetajiet huma ddikjarati, iżda fir-realtà huma offruti 13570 (f' Chrome għal Android - 13119) . In-numru u l-valuri tal-proprjetajiet ivarjaw minn verżjoni tal-brawżer għal verżjoni tal-brawżer u bejn sistemi operattivi differenti.
Il-valuri u l-preżenza ta 'ċerti proprjetajiet jistgħu jintużaw biex jiddeterminaw it-tip ta' OS. Pereżempju, f'Kubuntu il-proprjetà window.innerWidth hija ssettjata għal 1000, u fil-Windows 10 hija ssettjata għal 1001. Il-proprjetà window.navigator.activeVRDisplays hija disponibbli fuq il-Windows, iżda mhix disponibbli fuq Linux. Għal Android, ħafna sejħiet speċifiċi huma pprovduti, iżda window.SharedWorker mhuwiex. Biex tiġi identifikata s-sistema operattiva, huwa propost ukoll li tintuża analiżi tal-parametri WebGL, li l-istat tagħhom jiddependi fuq is-sewwieqa. Barra minn hekk, is-sejħa ta 'WEBGL_debug_renderer_infoextension tippermettilek tikseb informazzjoni dwar il-magna ta' rendering OpenGL, li hija differenti għal kull sistema operattiva.
Biex tiddetermina s-CPU, tintuża valutazzjoni tad-differenzi fil-ħin ta 'eżekuzzjoni ta' diversi blokki ta 'kodiċi tipiċi, li l-ipproċessar tagħhom jiddependi fuq l-arkitettura tas-sett ta' struzzjonijiet, filwaqt li titqies l-imġieba JIT (huwa determinat kemm se jintużaw reġistri CPU u f'liema każijiet JIT se jiġġenera kodiċi effiċjenti b'ottimizzazzjonijiet u l-użu ta 'struzzjonijiet estiżi, u meta le). Biex tiddetermina t-tip ta 'sistema ta' allokazzjoni tal-memorja u sistema operattiva, titkejjel ukoll id-differenza fil-ħin tal-allokazzjoni tal-memorja għal diversi strutturi, li tista 'tintuża biex tiġġudika d-daqs tal-blokki tal-memorja.
Il-parametri determinati waqt l-eżekuzzjoni tal-iskript huma mqabbla ma 'valuri ta' referenza tipiċi għal ambjenti ttestjati qabel. Matul it-test, it-teknika żviluppata għamlitha possibbli li jiġu identifikati b'mod preċiż 40 ambjent tat-test differenti, li tidentifika l-verżjonijiet tal-browsers użati, il-manifattur tas-CPU, is-sistema operattiva użata, u l-fatt li kienet qed taħdem fuq ħardwer reali jew f'magna virtwali.
Separatament, huwa nnutat li huwa possibbli li jiġu definiti add-ons tal-brawżer u anke settings individwali ta 'add-on, inklużi add-ons iddisinjati biex jimblokkaw metodi ta' identifikazzjoni moħbija jew attività tal-mod ta 'browsing privat. Fil-kuntest tal-metodu propost, żidiet bħal dawn isiru sors ieħor ta' data għall-identifikazzjoni. Iż-żidiet huma determinati billi jiġu vvalutati d-distorsjonijiet tal-parametri tal-ambjent oriġinali introdotti miż-żidiet.
Metodi oħra ta' identifikazzjoni jinkludu t-teħid in kunsiderazzjoni ta' data indiretta bħal , lista ta' tipi MIME appoġġjati, parametri speċifiċi fl-intestaturi ( и ), analiżi ta 'installat , disponibbiltà ta' ċerti Web APIs, speċifiċi għall-kards tal-vidjo tirrendi bl-użu tal-WebGL u , ma CSS, analiżi tal-karatteristiċi ta 'ħidma ma и .
Sors: opennet.ru