C’est ainsi qu’il a été alerté Empreinte digitaleJS, développeur d’une bibliothèque utilisée pour la prévention de la fraude. L’entreprise affirme avoir identifié un nouvelle technique d’empreinte digitale capable de générer des identifiants très cohérents sur les navigateurs Web, même via le navigateur Tor. La société affirme utiliser l’empreinte digitale, mais pas à travers des vulnérabilités comme celle-ci, mais à travers ce que JavaScript autorise «légalement». Par conséquent, ils ont fait connaître cette vulnérabilité au public afin qu’elle puisse être corrigée.
Empreinte digitale, plus dangereuse avec cette technique
L’empreinte digitale consiste à modéliser la forme qu’un utilisateur a de utiliser le navigateur selon la façon dont vous déplacez la souris, la résolution que vous utilisez, les sites Web que vous visitez, le contenu que vous lisez, les applications que vous avez installées, etc. Ces techniques sont de plus en plus raffinées et permettent à une entreprise de modéliser des personnes via différents navigateurs Web et appareils, même lorsque cette personne navigue en mode incognito ou sans accéder à ses comptes personnels.
Avec lui, si vous utilisez Chrome pour voir des sites Web, et Tor Pour voir les autres de manière anonyme, il est possible que quelqu’un puisse vous identifier à travers la façon dont vous naviguez, vous désaninomiser pour vous suivre sur Internet et même vous identifier. Cette technique a été baptisée par la société comme «inondation de schéma», en référence aux schémas d’URL utilisés pour ouvrir des liens tels que «skype: //» pour les ouvrir avec le programme qui leur est associé dans le système d’exploitation.
Avec cela, un attaquant peut découvrir quelles applications l’utilisateur a installées. Par exemple, un site Web peut vérifier un liste de 32 applis populaires pour voir s’ils sont installés sur le système. Sur le Web https://schemeflood.com/, nous pouvons voir à quel point il est unique notre identifiant en fonction de la Schémas d’URL que nous avons ouvert dans le navigateur. Dans mon cas, j’ai récemment ouvert Skype et Spotify, faisant de mon identifiant un 98,78% unique. L’onglet doit être actif pour que l’attaque ait lieu.
Le site Web effectue la vérification de la même manière que tout autre site Web peut le faire. le scénario il est annulé si l’application est présente ou génère une erreur si l’application ne l’est pas. Avec cela, les applications installées sont progressivement affichées. Dans certains navigateurs, cela peut donner des erreurs, en plus d’autres facteurs tels que la lenteur du matériel, l’utilisation de machines virtuelles, etc.
La faute dans ce cas revient aux navigateurs, qui ne doivent pas permettre l’utilisation de ce type de technique. La plupart des extensions obligent l’utilisateur à interagir avec elles, mais d’autres, telles que celles que l’application Mail ou un PDF nous ouvre directement, ne nécessitent pas d’interaction, ce qui entraîne des abus.
le équipe chrome vous réfléchissez actuellement à la manière de résoudre ces types d’attaques, car ils peuvent être utilisés avec de nombreuses autres informations utilisateur pour créer des identifiants uniques avec une très faible marge d’erreur.