新泽西理工学院的研究人员上周公布了一项新的定向攻击的细节,该攻击可以揭露一个所谓的匿名网站访问者的身份。它允许控制一个网站的恶意行为者确定特定目标用户是否访问了该网站。它通过利用 YouTube、Google Drive 或 Dropbox 等用户可能在后台登录的服务来识别用户名等匿名 ID。这种攻击很难防范,因为它不依赖于 cookie、浏览器指纹识别或任何通常用于跟踪网站访问者的方法,而Firefox 和 Safari 等浏览器正开始阻止这些方法。
这项攻击有点复杂,如果你不了解它的工作原理,让我们来分解一下。它依赖于攻击者拥有三样东西
- 控制一个目标可能(或被欺骗)访问的网站。
- 目标的电子邮件地址、Facebook 账户、Twitter 账户或其他公开可识别的个人资料。
- Facebook、YouTube、Google Drive 或 Dropbox 等允许与特定用户共享文档、文件或其他内容的.*.*.*.*.
攻击者不得不假设,和大多数互联网用户一样,他们的目标很可能一直登录着大多数这些资源共享服务。毕竟,这就是Facebook 能够收集其用户大量数据的方式。
[相关:通过“cookie 罐”,Firefox 希望遏制用户跟踪]
攻击的一个简单版本是这样的:比如,一个黑客想在我的电脑上安装像 Pegasus 间谍软件这样的东西,但他们不想把它安装在每个网站访问者身上,因为他们担心安全研究人员会发现它并找到缓解威胁的方法。他们知道我喜欢科学和技术,因为我在《Popular Science》杂志工作,而且他们知道我的电子邮件地址,因为它是公开的。为了针对我,他们可以设置一个虚假的科学新闻发布网站(或者更好的是,通过敲诈或黑客手段控制一个合法的网站),并在页面上嵌入一个 Google 文档。该文档设置为对所有人公开,但有一个被阻止的 Google 账户——与我的电子邮件地址关联的账户。
如果你或任何人访问该页面,文档将正常加载。然而,如果我访问该页面(并且我在后台登录了 Gmail),文档将不会加载。黑客无法看到这一切,但他们可以使用 JavaScript 探测 CPU 缓存的性能,这可以测量读取数据所需的时间,并以此推断文档是否正在为用户加载。在获得对网站的完全控制并锁定目标用户后,他们就可以部署一个零日“零点击”攻击,在不被我注意的情况下在我的电脑上安装间谍软件——而且不会不小心为其他人安装。他们所要做的就是让我访问该网站。
虽然这是一次高度针对性的攻击,但研究人员也提出了另一种更广泛的可能用途。如果 FBI 发现一个被匿名极端分子使用的论坛,并能够控制它(这是他们过去使用过的策略),他们就有可能根据与该组织相关的疑似 Facebook 账户列表来去匿名化一些用户。
它还可以影响许多不同类型的设备和浏览器。研究人员在多种桌面和移动 CPU 架构(包括 Intel、Apple 和 Qualcomm)、操作系统(包括 Windows、macOS 和 Android)、浏览器(包括 Chrome、Safari、Firefox 和安全重点的 Tor Browser)以及流行的资源共享服务(包括 Google、Twitter、LinkedIn、TikTok、Facebook、Instagram 和 Reddit)上进行了测试。他们得出结论,“绝大多数互联网用户都容易受到攻击。”
即使你知道自己容易受到攻击,这仍然是一种难以预防的攻击。研究人员已经联系了受影响的浏览器供应商和共享服务,但表示“没有一种不严重影响用户浏览体验的即时修复方法”。在此期间,他们发布了一个用于Chrome和Firefox的名为 Leakuidator+ 的插件,它可以缓解该攻击的某些变种,通过从任何潜在的风险请求中剥离 cookie 等第三方标识数据。
同时,用户可以通过不向共享服务提供不必要的登录信息、不在另一台设备(如工作电脑)上登录个人账户(反之亦然)以及使用 Safari、Tor、Firefox 或其他默认限制第三方 cookie 的浏览器来采取预防措施(因为这使得某些攻击变种无法实现)。
几乎所有这些步骤都会使使用互联网变得不那么愉快和更不方便——但如果你担心自己可能成为一次复杂的定向(且很可能是国家支持的)攻击的受害者,这就是你必须做出的牺牲。这些是Apple 新的 Lockdown Mode 所要应对的那种黑客攻击。
