加利福尼亚大学圣地亚哥分校的最新研究表明,公开互联网用户浏览历史的四种新方法。他们还展示了这些历史记录可以并可以用来针对各种攻击的互联网用户的方式。这些攻击中的大多数都是心理上针对性的,针对用户所信任的细节,他们相信只有最亲密的朋友和家人才能访问。
“我希望我们发布的某些攻击的严重性将迫使浏览器供应商重新审视他们如何处理历史数据,”研究作者Deian Stefan说,他是圣地亚哥大学雅各布斯工程学院计算机科学的助理教授。“我很高兴看到Mozilla,Google和更广泛的World Wide Web联盟(W3C)社区的人们已经参与其中。”
研究论文“重新浏览浏览器历史”的作者将查看浏览器历史记录的四种新方法归为“历史嗅探攻击”。这四种方法的两种类别包括访问链接攻击和基于缓存的攻击。这些研究人员用来测试其四种新攻击的浏览器如下:
经过测试的浏览器:
•Chrome:容易受到基于Chromium的攻击(成功执行4/4攻击)
•Firefox:成功执行4/4攻击
•边缘:成功执行4/4攻击
•Internet Explorer(IE):成功执行4/4攻击
•ChromeZero: 4/4攻击成功
•勇敢:易受基于铬的攻击(成功2/4攻击)
•FuzzyFox:1/4攻击失败(Stone的访问链接)
•DeterFox:1/4攻击失败(Stone的访问链接)
• Tor浏览器:无历史记录,不受此研究的攻击
注意:下面的前三种攻击是有关历史的Visited-link攻击,第四种是…不同。
攻击1:滥用CSS Paint API
使用CSS Paint API,攻击者可以利用以下事实:网站可以“进入浏览器的渲染管道并自己绘制HTML元素的一部分。”观察结果可以记录为网站访问,并且攻击者知道目标的历史记录,一页一页。
攻击2:滥用CSS 3D变换
攻击者将CSS 3D转换植入页面中,该页面在访问链接时会激活。这些3D转换在实施,加载和重新绘制时(取决于用户在访问链接之前是否加载了页面),可能变得“昂贵”(在处理器方面)。攻击者通过JavaScript监视页面的呈现性能,相对结果显示访问每个页面-即历史记录。
攻击3:滥用SVG的填充色
与Attack 2类似,SVG的填充色可用于跟踪各个网页上浏览器的相对性能。被访问的选择器会设置不同的独特颜色,并且攻击者的访问将以超级漂亮的全彩显示给攻击者!
攻击4:对历史记录的字节码缓存攻击
数据缓存的创建者可能并不打算针对恶意实体的最终用例,例如我们今天要谈论的黑客攻击。字节码缓存可跟踪Internet上网页上的JavaScript代码。如果多次访问同一个网页,或者使用相同的JavaScript代码访问了另一个网页,则浏览器将调用上次访问已存储的代码。这大大减轻了负载,但是又打开了用户不想保留的存储历史记录的门。
他们想要我的历史吗?
使用浏览器历史记录的现代攻击将尝试敲诈的消息作为目标用户。现代攻击会找出用户访问银行信息的特定登录页面,复制所述页面,并将其呈现给所述用户以远程访问。知道一个唯一的用户访问的确切网页可以为攻击者提供足够多的方法来攻击它们,跟踪它们和/或收获其数据,以及最终获得其金钱。
有关此主题的更多信息,请继续阅读圣地亚哥大学圣地亚哥分校的最新版本:雅各布斯工程学院。在那里,“这些新技术向攻击者展示了您的浏览历史记录”演讲引出了一系列其他资源,其中之一就是原始研究论文“重新浏览了浏览历史记录”。
迈克尔·史密斯(Michael Smith),克雷格·迪瑟尔科恩(Craig Disselkoen),斯拉万·纳拉扬(Shravan Narayan),弗雷泽·布朗(Fraser Brown)和狄安·斯特凡(Deian Stefan)撰写了《重新浏览历史》一文。除布朗来自斯坦福大学以外,这些作者均来自圣地亚哥大学圣地亚哥分校。