IT 之家 10 月 21 日消息,根據 Fingerprint 發布的最新安全報告,包括谷歌 Chrome 浏覽器在内,所有基于 Chromium 的浏覽器都存在漏洞,可以洩露你經常訪問的站點。
這個問題主要出在站點參與度 ( Site Engagement ) 上,用戶可以打開浏覽器,在地址欄上輸入 chrome://site-engagement,點擊訪問之後可以看到你參與度最高的所有網站。
想要竊取用戶經常訪問的站點,需要配合另一項功能 -- Lookalike Warnings。IT 之家注:該功能于 Chrome 75 版本開始默認引入,主要識别相似 URL 地址,避免用戶點擊釣魚站點。
Fingerprint 目前在 Chromium 中嵌入了主流域名列表,其中包括 489 個 "top bucket" 站點,共計有 4990 個域名。
Lookalike Warnings 有兩種警告類型:高度可疑站點會顯示全屏警告;低可疑站點會顯示彈出式窗口。
網站可以通過濫用 Lookalike Warnings 的方式,洩露 Chromium 浏覽器用戶最常訪問的站點。
例如用戶訪問 app.slack.com.detection.site,隻有 app.slack.com 互動的用戶顯示高度可疑警告。
任意網站都可以通過檢測網站打開的警告情況,來判斷用戶對某些站點的參與度,而 opener 可以重複将彈出窗口重定向到不同的地址,從而重複确認用戶參與度比較高的站點。
該公司還發布了一個演示網站,使用任何基于 Chromium 的浏覽器用戶可以點擊這裏進行測試。
現階段用戶無法禁用 Site Engagement 功能,目前的措施就是定期删除數據,用戶可以在浏覽器的地址欄中加載 chrome://settings/clearBrowserData 進行清理。
