注重隐私的人往往会采用 Tor 之类的工具匿名上网隐藏个人身份。但最新研究发现,以保护隐私著称的 Tor 浏览器未必如你想象般的安全—独立安全研究人员 Carlos Norte 发现了 Tor 的一个漏洞,该漏洞可识别用户的鼠标动作,从而与其身份关联起来。
将鼠标动作与用户身份关联起来的这项技术叫做 “用户指纹”。用户指纹是一项复杂的分析方法,可利用 “浏览器漏洞、cookies、浏览历史遗迹插件” 来跟踪用户行为方面的非标准数据,并在随后与特定个人关联起来。
网站可以使用这种方法在用户访问自己页面时生成其独特指纹。尽管用户通过 Tor 匿名浏览网页时身份得到很好的隐藏,但下次你再通过普通浏览器访问该网站时,由于有了你的指纹,该网站就可以通过指纹比对跟踪到你的身份。
实际上出卖你的是你的行为模式—你用鼠标的动作模式,每个人都有独特的鼠标使用习惯。目前 Norte 已经发现了不止一种技术能够揭开用户身份:其中一种办法是测量用户滚动鼠标的速度。此外攻击者还可以根据用户在页面移动鼠标的方式来识别其身份。
不过目前 Norte 只是在受控环境下测试了用户指纹采集技术,而且这种办法并不能保证 100%的准确率,但这无疑会引发对隐私保护的担忧,也许 Tor 之类的匿名工具需要新的手段来防止指纹采集才行。
此外,研究人员还发下指纹采集技术还可以识别用户的机器。通过在浏览器执行耗 CPU 资源的 Javascript,攻击者可以记录下执行任务所需的时间(每台机器的执行时间都不一样从而成为机器的指纹),然后利用这一信息探查使用了 Tor 上网的究竟是哪台机器—这个有点令人脊背发凉。
本文转自d1net(转载)
