谷歌 Chrome 等浏览器被曝漏洞，可以泄露你经常访问的网站

shenqibo

IT之家 10 月 21 日消息，根据 Fingerprint 发布的最新安全报告，包括谷歌 Chrome 浏览器在内，所有基于 Chromium 的浏览器都存在漏洞，可以泄露你经常访问的站点。






这个问题主要出在站点参与度 (Site Engagement) 上，用户可以打开浏览器，在地址栏上输入 chrome://site-engagement，点击访问之后可以看到你参与度最高的所有网站。

想要窃取用户经常访问的站点，需要配合另一项功能 -- Lookalike Warnings。IT之家注：该功能于 Chrome 75 版本开始默认引入，主要识别相似 URL 地址，避免用户点击钓鱼站点。

Fingerprint 目前在 Chromium 中嵌入了主流域名列表，其中包括 489 个“top bucket”站点，共计有 4990 个域名。

Lookalike Warnings 有两种警告类型：高度可疑站点会显示全屏警告；低可疑站点会显示弹出式窗口。






网站可以通过滥用 Lookalike Warnings 的方式，泄露 Chromium 浏览器用户最常访问的站点。

例如用户访问 app.slack.com.detection.site，只有 app.slack.com 互动的用户显示高度可疑警告。

任意网站都可以通过检测网站打开的警告情况，来判断用户对某些站点的参与度，而 opener 可以重复将弹出窗口重定向到不同的地址，从而重复确认用户参与度比较高的站点。

该公司还发布了一个演示网站，使用任何基于 Chromium 的浏览器用户可以点击这里进行测试。

现阶段用户无法禁用 Site Engagement 功能，目前的措施就是定期删除数据，用户可以在浏览器的地址栏中加载 chrome://settings/clearBrowserData 进行清理。