Objavljen je komplet orodij, ki izvaja metodo za zaznavanje dodatkov, nameščenih v brskalniku Chrome. Nastali seznam dodatkov je mogoče uporabiti za povečanje natančnosti pasivne identifikacije določenega primerka brskalnika v kombinaciji z drugimi posrednimi indikatorji, kot so ločljivost zaslona, funkcije WebGL, seznami nameščenih vtičnikov in pisav. Predlagana izvedba preverja namestitev več kot 1000 dodatkov. Za preizkus vašega sistema je na voljo spletna predstavitev.
Opredelitev dodatkov je narejena z analizo virov, ki jih zagotavljajo dodatki, ki so na voljo za zunanje zahteve. Običajno dodatki vključujejo različne spremne datoteke, kot so slike, ki so definirane v manifestu dodatka z lastnostjo web_accessible_resources. V prvi različici Chromovega manifesta dostop do virov ni bil omejen in katera koli stran je lahko prenesla ponujene vire. V drugi različici manifesta je bil dostop do takih virov privzeto dovoljen samo za sam dodatek. V tretji različici manifesta je bilo mogoče določiti, kateri viri se lahko dodelijo katerim dodatkom, domenam in stranem.
Spletne strani lahko zahtevajo vire, ki jih ponuja razširitev, z metodo pridobivanja (na primer »fetch('chrome-extension://okb....nd5/test.png')«), kar običajno pomeni, da vrnitev »false« da dodatek ni nameščen. Da bi dodatku preprečili zaznavanje prisotnosti vira, nekateri dodatki ustvarijo žeton za preverjanje, potreben za dostop do vira. Klicanje fetch brez podajanja žetona vedno ne uspe.
Izkazalo se je, da je zaščito dostopa do virov dodatkov mogoče zaobiti z oceno časa izvajanja operacije. Kljub temu, da fetch pri zahtevi brez žetona vedno vrne napako, je čas izvedbe operacije z in brez dodatka različen – če je dodatek prisoten, bo zahteva trajala dlje, kot če je dodatek ni nameščen. Z oceno reakcijskega časa lahko precej natančno določite prisotnost dodatka.
Nekatere dodatke, ki ne vključujejo zunanjih dostopnih virov, je mogoče prepoznati po dodatnih lastnostih. Na primer, dodatek MetaMask je mogoče definirati z ovrednotenjem definicije lastnosti window.ethereum (če dodatek ni nastavljen, bo "typeof window.ethereum" vrnil vrednost "undefined").
Vir: opennet.ru