Sakelompok panalungtik ti Universitas Téknis Graz (Austria), saméméhna dipikawanoh pikeun ngamekarkeun métode serangan , и , Émbaran ngeunaan téhnik analisis channel pihak-katilu anyar nu ngidinan Anjeun pikeun nangtukeun versi pasti tina browser nu, sistem operasi dipaké, arsitektur CPU jeung pamakéan tambihan-ons pikeun merangan idéntifikasi disumputkeun.
Pikeun nangtukeun parameter ieu, cukup ngajalankeun kode JavaScript disiapkeun ku panalungtik dina browser nu. Dina prakték, métode bisa dipaké teu ngan salaku sumber tambahan pikeun idéntifikasi teu langsung pamaké, tapi ogé pikeun nangtukeun parameter lingkungan sistem pikeun pamakéan sasaran exploits, nyokot kana akun OS, arsitektur jeung browser. Métodena ogé mujarab nalika nganggo panyungsi anu ngalaksanakeun mékanisme blocking idéntifikasi disumputkeun, sapertos Tor Browser. Prototipe kode sumber sareng palaksanaan metode handapeun lisénsi MIT.
Tekadna dijieun dina dasar ngaidentipikasi pola kaayaan sipat di JavaScript anu ciri tina panyungsi béda jeung karakteristik waktu palaksanaan operasi, gumantung kana karakteristik JIT, CPU jeung mékanisme alokasi memori. Nangtukeun sipat dipigawé ku generating daptar sadaya objék diaksés tina JavaScript. Salaku tétéla, jumlah objék langsung correlates jeung mesin browser sarta versi na.
fungsi getProperties(o) {
var hasil = [];
sedengkeun (o! == null) {
hasil = result.concat(Reflect.ownKeys(o));
o = Object.getPrototypeOf(o);
}
hasil balik;
}
Contona, pikeun Firefox dokuméntasi nyatakeun rojongan pikeun 2247 sipat, sedengkeun jumlah sabenerna sipat ditetepkeun, kaasup undocumented leuwih, nyaéta 15709 (dina Tor Browser - 15639), pikeun Chrome 2698 sipat dinyatakeun, tapi kanyataanana 13570 ditawarkeun (dina Chrome pikeun Android - 13119). Jumlah sareng nilai sipat béda-béda ti versi browser ka versi browser sareng dina sistem operasi anu béda.
Nilai sareng ayana sipat anu tangtu tiasa dianggo pikeun nangtukeun jinis OS. Contona, dina Kubuntu sipat window.innerWidth disetel ka 1000, sarta dina Windows 10 disetel ka 1001. sipat window.navigator.activeVRDisplays sadia dina Windows, tapi teu sadia dina Linux. Pikeun Android, seueur telepon khusus anu disayogikeun, tapi window.SharedWorker henteu. Pikeun ngaidentipikasi sistem operasi, éta ogé diusulkeun ngagunakeun analisa parameter WebGL, kaayaan anu gumantung kana supir. Sajaba ti éta, nelepon WEBGL_debug_renderer_infoextension ngidinan Anjeun pikeun ménta inpo ngeunaan mesin rendering OpenGL, nu béda pikeun tiap sistem operasi.
Pikeun nangtukeun CPU, hiji assessment tina béda dina waktu palaksanaan rupa-rupa blok kode has dipaké, ngolah nu gumantung kana arsitéktur set instruksi, nyokot kana akun kabiasaan JIT (eta ditangtukeun sabaraha CPU registers bakal dipaké. sarta dina kasus nu JIT bakal ngahasilkeun kode efisien kalawan optimizations sarta pamakéan parentah nambahan, sarta lamun henteu). Pikeun nangtukeun jenis sistem alokasi memori sareng sistem operasi, bédana waktos alokasi mémori pikeun sagala rupa struktur ogé diukur, anu tiasa dianggo pikeun nangtoskeun ukuran blok mémori.
Parameter anu ditangtukeun nalika palaksanaan naskah dibandingkeun sareng nilai rujukan anu khas pikeun lingkungan anu diuji sateuacana. Salila tés, téknik dimekarkeun ngamungkinkeun pikeun ngaidentipikasi akurat 40 lingkungan tés anu béda, ngaidentipikasi versi browser anu dianggo, produsén CPU, sistem operasi anu dianggo, sareng kanyataan yén éta dijalankeun dina hardware nyata atanapi dina mesin virtual.
Kapisah, éta dicatet yén kasebut nyaéta dimungkinkeun pikeun nangtukeun browser add-ons komo individual add-on setelan, kaasup add-on dirancang pikeun meungpeuk métode idéntifikasi disumputkeun atawa aktivitas mode browsing swasta. Dina kontéks métode anu diusulkeun, tambahan sapertos kitu janten sumber data anu sanés pikeun idéntifikasi. Tambahan ditangtukeun ku assessing distorsi tina parameter lingkungan aslina diwanohkeun ku tambahan.
Métode idéntifikasi sanésna kalebet tumut kana data henteu langsung sapertos , daptar tipe MIME nu dirojong, parameter husus dina lulugu ( и ), analisis dipasang , kasadiaan API Web tangtu, husus pikeun kartu vidéo Rendering maké WebGL na , kalawan CSS, analisis fitur gawé bareng и .
sumber: opennet.ru