18:38
30/6/2022

Ciekawy problem z obszaru OPSEC. Istnieje sposób, aby dowolna strona poznała nazwy dodatków, które masz zainstalowane w swojej przeglądarce Chrome. Niby to żaden wstyd i problem, ale ponieważ różni ludzie instalują różne zestawy dodatków, to w ten sposób można wykonać tzw. fingerprint przeglądarki. A potem przy jego pomocy śledzić Cię na różnych stronach, bez konieczności podrzucania mu ciasteczek, niezależnie od adresu IP z jakiego korzystasz.

Browser Fingerprinting

Temat fingerprintingu przeglądarki w celu śledzenia użytkowników w internecie to żadna nowość. O różnych technikach fingerprintingowania przeglądarek po raz pierwszy pisaliśmy na Niebezpieczniku aż 12 lat temu!

Technika, którą przedstawiamy dziś, do fingerprintingu wykorzystuje wykrywanie dodatków poprzez analizę żądań do zasobów, tzw. web-accessible resources, z których te dodatki korzystają. Czyli mówiąc wprost, plików, które znajdują się w ramach danego dodatku, na komputerze użytkownika. Tak. Można się do nich dostukać z internetu, choć autor dodatku może to ograniczać (ale nie wszyscy to robią). W szczegółach technika została opisana tutaj. A oto przykładowy kod:

fetch(`chrome-extension://okbilfbeogweaoehlefnkodbefgpgknn/test.png`)
.then(() => (true))
.catch(() => (false))

Najważniejsze: sprawdź unikatowość swojej przeglądarki!

Jeśli chcesz sprawdzić, jak bardzo można Cię śledzić w internecie, to wejdź na tę stronę. Tam możesz przetestować swoją przeglądarkę pod kątem “unikatowości” fingerprintu. Im mniejsza liczba, tym gorzej, bo tym bardziej unikatowy jesteś w internecie (tym mniej osób ma taką samą konfigurację przeglądarki jak Ty).

Do czego można to wykorzystać?

Do dobrego: Banki mogą sprawdzać, czy z rachunku klienta X dalej korzysta ~ta sama~ instancja przeglądarki (plus minus zaadresowanie zmiany w rozszerzeniach).

Do złego: Internetowe rzezimieszki mogą przy pomocy tej techniki nie tylko śledzić swoje ofiary na kontrolowanych przez siebie stronach, ale także wykorzystać fingerprinting przez dodatki do ataków ukierunkowanych. Można np. wykryć czy ktoś korzysta z dodatku MetaMask i wtedy spróbować wyłudzać od niego dane dostępowe, korzystając z lepiej dopasowanej socjotechniki.

OPSEC zagrożony

Nie sądzimy, żeby ktoś, komu zależy na tzw. OPSEC-u korzystał z przeglądarki Chrome ;) Albo żeby nie miał restrykcyjnie skonfigurowanego dodatku typu uMatrix, nie żonglował adresami IP lub nie manipulował celowo swoim fingerprintem. Innymi słowy, ta technika OPSEC-owym freakom nie zaszkodzi. Podstawowe, wymienione wyżej zasady zachowania prywatności powinny wystarczyć. Do ochrony przed tą techniką. Ale metod pamiętajcie, że metod fingerprintingu jest więcej i dotyczą też innych przeglądarek (najlepiej wypada pod tym kątem Tor Browser).

Jak zachować prywatność w internecie?

Chcesz dowiedzieć się więcej na temat OSPEC-u i tego jak zachować anonimowość w sieci? Temu zagadnieniu mamy poświęconych kilka lekcji naszego Internetowego Kursu OSINT.

UWAGA! Tylko do 7 lipca (23:59), jeśli zapiszesz się na ten kurs to otrzymasz wieczysty dostęp do platformy szkoleniowej z materiałami (wciąż aktualizowanymi), a także wieczysty dostęp do zamkniętego forum, do którego dostęp ma 2200 kursantów i gdzie codziennie omawiamy zagadnienia, nie tylko z obszaru OSINT/OPSEC.

Po 7 lipca dostęp do tego najbardziej rozbudowanego kursu z OSINT w Polsce oferować będziemy już wyłącznie modelu abonamentowym i aby nie stracić dostępu do nowych treści i forum trzeba będzie odnawiać subskrypcję. Dlatego zapisz się teraz, aby dołączyć na najkorzystniejszych warunkach!

Nasz kurs to już ~80 lekcji, łącznie ponad 24 godziny profesjonalnie przygotowanego materiału, który pokazuje narzędzia i techniki pozyskiwania informacji na temat osób i firm. To wiedza, którą dziś powinien posiadać każdy. W kursie wziąć udział może każdy — jeśli potrafisz korzystać z przeglądarki, dasz radę i zdobędziesz bardzo przydatne umiejętności, które przydają się w wielu zawodach. Ten kurs często finansują pracownikom ich szefowie, zwłaszcza po tym, jak otrzymają listę argumentów, którą znajdziesz na tej stronie z opisem kursu.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

23 komentarzy

Dodaj komentarz
  1. fajna strona, która wykryła 2 z 10 wtyczek :)

  2. U mnie tylko uBlockOrigin, nie ma mowy, nie odinstaluję tego nigdy.

  3. 0,002% Czyli co, powinienem zainstalować sobie więcej wtyczek z listy? Trochę głupio, że 2 lub 3 wtyczki, które ujawniają u mnie dane są od Googla.

    • Odinstalować, bo zwiększenie ilość zwiększa Twoją unikalność :)

  4. 55.578% – to chyba nie najgorszy wynik ;-)

  5. Najwyższy wynik daje brak wtyczek: 55.601%
    Wtyczka do menadżera haseł to mniej niż 0.05%

    • Dziwne… ja nie mam żadnych wtyczek i pokazuje mi 55.576% ;)

  6. Trochę dziwne. “0.03% of users share the same extensions” cokolwiek znaczy “users”. bo 0.007 z 50 mln daje 1 500 000 użytkowników. Nie dajmy się zwariować.

  7. “0.033% of users share the same extensions” dla dwóch wtyczek.
    Cokolwiek znaczy “users”.
    Załóżmy, że to 50 000 000 milionów. daje to 1 650 000 użytkowników. Nie dajmy się zwariować.

  8. Mam chroma bez doinstalowanych dodatków, jedynie jest “Google Docs Offline” który jest z orginalnej instalki i wyszło:
    2.267% of users share the same extensions
    Coś tutaj śmierdzi…

  9. Chrome ma 2,65 mld użytkowników. Strona dała mi wynik 0,002%. Moich doppelgangerów jest “tylko” 53k :D
    Ups :D

  10. U mnie w Chrome z kilkoma rozszerzeniami nawet uBlocka nie wykrywa, co daje mi wynik w 55% ;)

  11. U mnie pokazało na liście dodatek (konkretnie Click & Clean), który już dawno, dawno odinstalowałem. Na liście dodatków go nie mam. Podpowiedzcie mi: co z tym zrobić? Z pewnością gdzieś sobie pozostałości siedzą i działają.

  12. 0.002% of users share the same extensions
    pora na aluminiową czapkę

  13. U mnie na oprze wykrywa tylko wtyczkę menadżera haseł i wappalyzera. Co daje wynik 0.004.
    A nie wykrywa całej listy innych wtyczek. np ublock origin, ghostery, privacy badger i jeszcze kilku innych.
    Z resztą na zaufane strony wchodzę w trybie normalny, a na jednorazowe wizyty używam trybu prywatnego.

  14. Jak zwykle, ataki tego typu można bardzo łatwo uniknąć używając JShelter, które jest w stanie skutecznie uniemożliwić enumerację rozszerzeń, i wiele innych źródeł danych do fingerprintingu.

  15. “You need to enable JavaScript to run this app.” ten tego…

  16. Ja mam 100% bo używam firefox :-)

  17. Fingerprint, ale naciągany. Wystarczy aktualizacja przeglądarki, rozszerzeń, systemu, AV, firewalla, może reguł i już aplikacja nie nadąża ze zmianami… bez dodatkowych działań użytkownika. Gdyby dołożyć: UAstring, niestandardowe proxy i DNS, rozpoznawanie certyfikatów i sposobu ich akceptacji, aktywne mikroserwisy w przeglądarce, elementy diagnostyki itp. to rzeczywiście byłby fingerprint przeglądarki.
    Nie wiem jak dla Was, ale dla mnie prawdziwy fingerprint to unikalny wektor (zbiór parametrów) użytkownika łącza/komuptera. Na podstawie częstotliwości, ciężkości i kierunku wysyłanych/odbieranych danych można zidentyfikować użytkownika. Czy jest to możliwe do zrobienia? Z pewnościa tak, od wielu lat. Obecnie przez wsparcie sztucznej inteligencji nawet łatwiejsze (patrz próby zrobienia “Raportu mniejszości”).
    Pewnego rodzaju wyrazem wektora jest sieć powiązań cookies. Kiedyś do Firefoksa było zarąbiste rozszerzenie, które taką sieć pokazywało.
    Z mojej strony korzystam z: Multi-Account Containers, uBlock, Privacy Badger, DuckDuckGo Privacy i nie wiem czego jeszcze, poziom wyższe restrykcje dla cookies, DNS w konfiguracji k.sieciowej. Przydałoby się jeszcze lokalne proxy lub zapora sprzętowa między routerem a komputerami. Również VPN (nie używam obecnie) konfigurowany na poziomie zapory.
    W tej chwili nie mogę sprawdzić treści artykułu. Traktuje to jako ciekawostkę.

  18. U mnie pusta biała strona. ScriotBlock robi robotę :)

  19. Ja mam errori wszystko na false. Co to znaczy? Error
    Hash: d751713988987e9331980363e24189ce

Odpowiadasz na komentarz Jacek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: