注重隱私的人往往會采用 Tor 之類的工具匿名上網隱藏個人身份。但最新研究發現,以保護隱私著稱的 Tor 瀏覽器未必如你想象般的安全—獨立安全研究人員 Carlos Norte 發現了 Tor 的一個漏洞,該漏洞可識別用戶的鼠標動作,從而與其身份關聯起來。
將鼠標動作與用戶身份關聯起來的這項技術叫做 “用戶指紋”。用戶指紋是一項復雜的分析方法,可利用 “瀏覽器漏洞、cookies、瀏覽歷史遺跡插件” 來跟蹤用戶行為方面的非標準數據,并在隨后與特定個人關聯起來。
網站可以使用這種方法在用戶訪問自己頁面時生成其獨特指紋。盡管用戶通過 Tor 匿名瀏覽網頁時身份得到很好的隱藏,但下次你再通過普通瀏覽器訪問該網站時,由于有了你的指紋,該網站就可以通過指紋比對跟蹤到你的身份。
實際上出賣你的是你的行為模式—你用鼠標的動作模式,每個人都有獨特的鼠標使用習慣。目前 Norte 已經發現了不止一種技術能夠揭開用戶身份:其中一種辦法是測量用戶滾動鼠標的速度。此外攻擊者還可以根據用戶在頁面移動鼠標的方式來識別其身份。
不過目前 Norte 只是在受控環境下測試了用戶指紋采集技術,而且這種辦法并不能保證 100%的準確率,但這無疑會引發對隱私保護的擔憂,也許 Tor 之類的匿名工具需要新的手段來防止指紋采集才行。
此外,研究人員還發下指紋采集技術還可以識別用戶的機器。通過在瀏覽器執行耗 CPU 資源的 Javascript,攻擊者可以記錄下執行任務所需的時間(每臺機器的執行時間都不一樣從而成為機器的指紋),然后利用這一信息探查使用了 Tor 上網的究竟是哪臺機器—這個有點令人脊背發涼。
京公網安備 11010502049343號