Brave浏览器隐私团队发现了一个新类型的关注漏洞,利用该漏洞发动的攻击被称为泳池派对攻击(Pool-party Attacks)。第三方定位器能够使用浏览器有限但是共享的资源集合,来创建侧信道,定位器便能使用这些侧信道来跨站关注用户,规避浏览器的隐私保护功能。目前已知所有浏览器都存在该漏洞,Brave在接下来几周会发布相关更新,防范用户遭受泳池派对攻击。
过去已经有部分论文,发布类似的攻击研究,而泳池派对攻击的发现,创建在过去的研究成果,更完整呈现该类攻击的全貌。泳池派对攻击的严重性,远超过之前的认知,严重且受影响范围也非常广,官方提到,更令人担心的是,泳池派对攻击可以针对Gecko引擎浏览器,通过用户文件来关注用户,并且将隐私浏览和一般浏览关联起来,暴露隐私浏览者的身份。
多数浏览器原来都有防跨站关注的保护机制,无论是Brave、Firefox、Safari还是Tor Browser,皆使用分区(Partitioning)的技术,来阻止定位器跨网站关注用户,也就是防止网站上的定位器,在用户浏览另一个网站时,关联两次浏览为同一用户,能够避免用户受到最常见的跨网站关注。
虽然分区功能并非万能,无法阻挡特定的关注方法,但仍是保护网页隐私有用且重要的技术。而Brave新发现的泳池派对攻击,也能使分区保护失效,网站可以绕过浏览器中基于分区的隐私保护,Brave隐私团队把利用共享资源来跨网站边界进行沟通的攻击手法,称为泳池派对攻击,在他们的研究之中,有三点新发现。
第一,过去的研究工作只发现了泳池派对攻击中的特定案例,事实上浏览器充斥这类攻击漏洞,第二,这类攻击所产生的影响,实际比过去研究大上许多,网站可利用泳池派对攻击漏洞,在网站之间传递任意资料,第三,泳池派对攻击不只是理论上可执行的攻击手法,而是已经可实际应用的隐私威胁。
目前所有热门浏览器都受到泳池派对攻击的威胁,只要浏览器所提供的API满足特定功能,就能够被定位器用于跨站关注,像是当网站资源使用受到限制,也就是网站从资源池中请求资源,直到达到限制,网站便无法访问更多资源,又或是资源没有分区,不同的网站都可以从同一个有限的资源池要求资源,甚至是网站可不受限制地消耗资源池的资源,这些API都可被用于泳池派对攻击。
Brave隐私团队解释,泳池派对攻击是一种存在于所有浏览器引擎中的侧信道攻击,比多数侧信道容易被使用,由于大多数的侧信道都使用CPU缓存、内存缓存等共享资源,在实务中,因为这些资源噪声过多而难以被用来通信,相对来说,泳池派对攻击的目标,是由浏览器管理,且特定于浏览器的共享资源,噪声要少得多,很容易用于通信。
要防御泳池派对攻击并不简单,因为计算机一定会限制提供给网站的资源,计算机拥有有限的内存和磁盘空间,攻击者可以利用这些限制进行泳池派对攻击。虽然浏览器无法从根本解决问题,但是却可以让这项攻击难以实例,像是在网页出现异常行为时,便自动关闭浏览器。
Brave隐私团队在论文中提出的解决方法,主要是解除对高带宽资源使用的限制,当定位器需要消耗够多的资源,来使系统产生饥饿现象,则用户便会注意到这个攻击,停止浏览发动泳池派对攻击的网站,就能立刻阻止攻击。
Brave现在正积极部署第一套泳池派对攻击防御机制,在接下来数周会陆续推送更新给用户,同时Brave也正与其他浏览器合作,以保护网络用户免受相关攻击影响。
领取专属 10元无门槛券
私享最新 技术干货