0
雷鋒網消息,4月5日,據外媒報道,軟件開發者 Marco Chiappetta 開發了一款 Chrome 擴展程序,它能探測到那些使用“零寬度字符”技術獲取指紋文本的企圖。
這個名為“用 emoji 替換零寬度字符”的擴展程序現在已經可以在 Chrome Web Store 和GitHub 上下載了。
Chiappetta 制作這款擴展程序也是受了英國安全研究人員 Rom Ross 文章的影響。在文章中,Ross 詳細解釋了各組織們如何使用零寬度字符來采集敏感指紋文本。在這種場景下,用戶可能會受到“誘惑”,在未授權文檔或另一個網頁中進行復制粘貼。
Ross 還一并公布了概念驗證代碼,它成功將一些用戶名奪走并將其轉換成二進制代碼,這樣以來 1 就是零寬度的空格,而 0 則是零寬度的非連字符(Non-Joiner)。
這種采用零寬度字符的用戶名二進制表示法隨后會插入敏感文本。由于字符“零寬度”,人眼根本看不到文本。
Ross 的概念驗證代碼也是為了喚起人們對此類攻擊的意識,想匿名行事的舉報者應該特別小心。
“如果你的職業比較敏感,可千萬得提高警惕,復制文本時的風險可相當高。”Ross 說道。“愿意渲染零寬度字符的恐怕只有極少數應用。”
雷鋒網了解到,想要發現此類攻擊,通常要用到 Linux 命令行工具,對大多數非專業人士來說,這是很難跨越的門檻。不過,Chiappetta 的出現解決了這一問題,隨機的 emoji 可以解決零寬度字符的“隱身”問題。
該擴展程序并不會在頁面加載時自動執行,用戶需要按按鍵才能讓零寬度字符現出原形。這樣設計是有意的,如果選擇自動執行,本就自帶 emoji 的文本可能會被誤傷。
如果想要保護自己的“指紋”,就趕緊把這個擴展程序加入自己的 OpSec 武器庫吧。當然也別忘了 PDF 編輯工具,在發布 PDF 文檔前可用它安全的編輯和刪除元數據。
雷鋒網Via. Bleeping Computer
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
