IT之家 10 月 21 日消息,根據(jù) Fingerprint 發(fā)布的最新安全報告,包括谷歌 Chrome 瀏覽器在內(nèi),所有基于 Chromium 的瀏覽器都存在漏洞,可以泄露你經(jīng)常訪問的站點。
這個問題主要出在站點參與度 (Site Engagement) 上,用戶可以打開瀏覽器,在地址欄上輸入 chrome://site-engagement,點擊訪問之后可以看到你參與度最高的所有網(wǎng)站。
想要竊取用戶經(jīng)常訪問的站點,需要配合另一項功能 -- Lookalike Warnings。IT之家注:該功能于 Chrome 75 版本開始默認(rèn)引入,主要識別相似 URL 地址,避免用戶點擊釣魚站點。
Fingerprint 目前在 Chromium 中嵌入了主流域名列表,其中包括 489 個“top bucket”站點,共計有 4990 個域名。
Lookalike Warnings 有兩種警告類型:高度可疑站點會顯示全屏警告;低可疑站點會顯示彈出式窗口。
網(wǎng)站可以通過濫用 Lookalike Warnings 的方式,泄露 Chromium 瀏覽器用戶最常訪問的站點。
例如用戶訪問 app.slack.com.detection.site,只有 app.slack.com 互動的用戶顯示高度可疑警告。
任意網(wǎng)站都可以通過檢測網(wǎng)站打開的警告情況,來判斷用戶對某些站點的參與度,而 opener 可以重復(fù)將彈出窗口重定向到不同的地址,從而重復(fù)確認(rèn)用戶參與度比較高的站點。
該公司還發(fā)布了一個演示網(wǎng)站,使用任何基于 Chromium 的瀏覽器用戶可以點擊這里進(jìn)行測試。
現(xiàn)階段用戶無法禁用 Site Engagement 功能,目前的措施就是定期刪除數(shù)據(jù),用戶可以在瀏覽器的地址欄中加載 chrome://settings/clearBrowserData 進(jìn)行清理。
廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。