Blog

History Stealing: a totális azonosíthatóság új eszköze?

2010.02.23. 16:31:25, Gulyás Gábor

Nem rég megjelent a Linkek szekcióban egy új Firefox kiegészítő (SafeHistory), mely segítségével megakadályozhatjuk, hogy illetéktelen weboldalak felderítsék a böngészési előzményeinket (history), és ezt felhasználják a privátszféránk elleni támadásokra. Például arra, hogy azonosítsanak minket. Hogyan is működik ez a támadás?

Angol nevén ez a History Stealing, és a támadás tömör lényege, hogy bármely meglátogatott weboldal képes "letapogatni" milyen URL-eket látogattunk meg, vagy sem. Bár egyértelműen nem lehetséges listázni a meglátogatott URL-eket, de például rejtett URL-ek beszúrásával azoknak a színe alapján lehetséges eldönteni, hogy azt meglátogatta-e a felhasználó vagy sem – persze az igen/nem válasz kikényszerítése történhet más technikával is.

Friss kutatási eredmények szerint lehetséges egy olyan támadás, ami épp ezt a böngésző gyengeséget használja ki. Az alapkoncepció szerint minden felhasználó többé-kevésbé egyedi csoport tagsági listával rendelkezik, és feltételezzük, hogy ezt a listákat már a támadó fél is ismeri (pl. már bejárta egy programmal az adott közösségi hálózatot). Azonban ha ismert a csoport tagságok listája, akkor azt is tudni lehet, hogy vélhetően milyen URL-eket látogatott meg a felhasználó korábban. Ezeknek az URL-eknek a keresésére kell készíteni egy kellően hibatűrő programot (az előzmények ürítése, csoportok megszűnése, stb. miatt fontos a hibatűrés), és le kell tapogatni a meglátogatott csoportok URL-jeit.

Ezek alapján pedig a felhasználók egyedi módon, a közösségi oldalon megadott identitásuknak megfelelően azonosítóak lesznek. Ez annyiból is több a korábban megismert támadásokhoz képest, hogy nem csak egyedi azonosítót kap a felhasználó, hanem rögtön egy nyilvános profilhoz is tudjuk azt kötni, amihez aztán pedig tetszőleges forrásokból gyűjthetünk információt. Összegezve: ez egy rendkívül hatékony támadási forma, ami nem csupán szám alapú azonosíthatóságot, hanem teljes beazonosíthatóságot kínál, és így a legkártékonyabb fegyvernek tűnik a privátszférával szemben az azonosítás alapú nyomkövetési módszerek között.

Hozzászólások

Összesen 0 hozzászólás látható.

Nincsenek hozzászólások.


A hozzászóláshoz be kell jelentkezni!

© PET Portál és Blog, 2008-2010 | Impresszum | Adatvédelmi nyilatkozat