パスワードを忘れた? アカウント作成
15288349 story
プライバシ

カスタムURIスキームを利用して異なるWebブラウザーにわたりユーザー追跡を可能にする手法 2

ストーリー by nagazou
あの手この手 部門より
headless 曰く、

カスタムURIスキームを利用することで、異なるWebブラウザーにわたるユーザーの追跡が可能になるという「scheme flooding」脆弱性をFingerprintJSが公開している(FingerprintJSのブログ記事Ghacksの記事HackReadの記事デモページ)。

この脆弱性はカスタムURIスキームを使用して外部プロトコルのハンドラー呼び出しを試みることで、Webサイトがユーザーのシステムに対応アプリがインストールされているかどうかを知ることが可能というものだ。カスタムURIスキームを利用するアプリのリストを生成することで、システムにインストールされた複数の異なるWebブラウザーで共通の識別子を生成できる。FingerprintJSでは影響を受けるブラウザーとしてデスクトップ版のTor Browser/Safari/Chrome/Firefoxを挙げているが、Chrome以外のChromiumベースブラウザーも影響を受けるとみられる。

ChromiumベースのブラウザーではカスタムURIスキーム実行時にダイアログボックスが表示され、ユーザーの意志に反したアプリケーションの起動を防ぐ仕組みが備わっているが、いったん内蔵PDFビューアーを起動するとこの仕組みがバイパスされる問題があるという。これについてはFingerprintJSがバグとして報告している。

FingerprintJSが公開しているデモでは24のアプリケーションに対応するカスタムURIスキームをチェックして24ビットの識別子を生成する。現在のところmacOSとWindowsにのみ対応しており、Linux上では正しく動作しない。

  • by Anonymous Coward on 2021年05月19日 16時34分 (#4034476)

    cookie非対応のi-modeでは、カスタムURLでいろんなものを制御してた

    ここに返信
  • by Anonymous Coward on 2021年05月20日 11時21分 (#4035010)

    「正しく動作しない」とは。
    脆弱性が機能しないのは正しくないのか?

    IPアドレスあるし追跡と言われても、と思うがTorで困るし同一マシン特定は大きいか。
    IPv6の一時アドレスもブラウザごとに割り当てとかになるかもね。

    ここに返信
typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...