找回密码
 立即注册
搜索
查看: 466|回复: 0

谷歌 Chrome 等浏览器被曝漏洞,可以泄露你经常访问的网站

[复制链接]
发表于 2023-10-22 00:10:21 | 显示全部楼层 |阅读模式 来自 山东济南
IT之家 10 月 21 日消息,根据 Fingerprint 发布的最新安全报告,包括谷歌 Chrome 浏览器在内,所有基于 Chromium 的浏览器都存在漏洞,可以泄露你经常访问的站点。


AA1iBspf.jpg



这个问题主要出在站点参与度 (Site Engagement) 上,用户可以打开浏览器,在地址栏上输入 chrome://site-engagement,点击访问之后可以看到你参与度最高的所有网站。

想要窃取用户经常访问的站点,需要配合另一项功能 -- Lookalike Warnings。IT之家注:该功能于 Chrome 75 版本开始默认引入,主要识别相似 URL 地址,避免用户点击钓鱼站点。

Fingerprint 目前在 Chromium 中嵌入了主流域名列表,其中包括 489 个“top bucket”站点,共计有 4990 个域名。

Lookalike Warnings 有两种警告类型:高度可疑站点会显示全屏警告;低可疑站点会显示弹出式窗口。


AA1iBoF2.jpg



网站可以通过滥用 Lookalike Warnings 的方式,泄露 Chromium 浏览器用户最常访问的站点。

例如用户访问 app.slack.com.detection.site,只有 app.slack.com 互动的用户显示高度可疑警告。

任意网站都可以通过检测网站打开的警告情况,来判断用户对某些站点的参与度,而 opener 可以重复将弹出窗口重定向到不同的地址,从而重复确认用户参与度比较高的站点。

该公司还发布了一个演示网站,使用任何基于 Chromium 的浏览器用户可以点击这里进行测试。

现阶段用户无法禁用 Site Engagement 功能,目前的措施就是定期删除数据,用户可以在浏览器的地址栏中加载 chrome://settings/clearBrowserData 进行清理。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|shenqibo.com ( 鲁ICP备11022885号|鲁公网安备 37010502000852号 )|网站地图 |

GMT+8, 2024-12-24 03:25 , Processed in 0.068309 second(s), 17 queries .

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表