TOR 、VPN 匿名上網失效 瀏覽器漏洞可產生個人標籤

TOR 、VPN 匿名上網失效 瀏覽器漏洞可產生個人標籤

專門製作瀏覽器指紋(browser-fingerprinting)資料庫的公司 FingerprintJS,警告現時有一種稱之為 Scheme flooding 的方法可以突破盲腸,通過瀏覽器點算用戶安裝於電腦內的應用軟件,據此製成一個個人身份標籤,就算用戶使用 VPN、 TOR 洋葱網絡 匿名上網,都有可能被找出真身!

目錄

什麼是TOR?

TOR的運作原理

TOR上網的弊處

個人標籤杜絕匿名上網

最新瀏覽器全部有效

什麼是 TOR?

翻牆神器 VPN 大家就聽得多或用得多,而 TOR(The Orion Router)又是什麼一回事? 它又稱為洋葱網絡,早於上世紀 90 年代已被美國海軍研究所開發,它原本的用途在於保護美國軍方及情報人員能 匿名上網,而去到 21 世紀初才開放讓所有人使用,並在 2006 年交由一間名為TOR Project 的非牟利機構監管。起初它的用戶主要是有可能受政權監控的人士,例如傳媒、社運組織,但由於其隱密性非常高,因此同樣受犯罪組織青睞,特別是現時的勒索軟件集團,更會於 TOR 架設專門用於發布受害企業機密資料樣本的網站。

TOR的運作原理

TOR之所以能夠保持隱密,首先要了解一般上網的過程。以瀏覽網站為例,用戶首先要經瀏覽器送出上網指示,經本地的 DNS 域名解析服務器取得目標網站的對應 IP 地址,發送訪問網站的請求。服務器確認無誤後,瀏覽器就可下載該網站的內容。在這過程中,DNS 服務器及目標網站的伺服器均可記錄到訪問者的 IP 地址,換言之便可追蹤及鎖定到訪人的真實身份。它的可靠之處,便是它會將用戶在到達目標網址前,經過至少三次或以上的 IP 地址轉換及加密,由於 TOR 在全球各地擁有數以百萬計的義務(volunteer)電腦,因此它可以隨機選出三部或以上的電腦執行這個被稱為「Three-loop system」的動作,變相令互聯網服務供應商、目標網站及 DNS域名解析服務器,都無法得知訪問者的真實身份。如果要簡單一點理解,可幻想為經過三間不會保存任何記錄的 VPN 供應商。

TOR上網的弊處

由於到訪網站必須進行三次 IP 地址轉換及加密解密,可想而知,必定會令上網速度下降,而且視乎負責轉換過程的義務電腦所處地區,有可能更加慢,基本上只可應付簡單的工作如收發電郵、瀏覽討論區(如Dark web討論區)等。另外,須注意不少網站均不支援 TOR 連線,例如 Facebook、Amazon 等,部分網站插件如 Java、 Flash 亦會無法顯示。用戶必須在安全與方便之間作出取捨。

個人標籤杜絕匿名上網

今次 FingerprintJS 發現的 scheme flooding 跨瀏覽器識別真身技術,雖然未必可以百分之百鎖定利用不同瀏覽器上網的人為同一人,但已非常具有參考價值。專家解釋, scheme flooding 主要是通過將特定程式碼置於一個網站之中,每當有人到訪就會觸動這組編碼,繼而不停嘗試開啟訪客上網設備內的應用軟件,例如當瀏覽器執行開啟 “skype://”為開端的編碼時,系統便會彈出通知,詢問是否以 Skype 打開該連結,但如訪客的電子設備內並沒有安裝 Skype,則不會彈出通知。專家在測試中,特別加入了會逐一打開 32 款常用應用軟件的編碼,根據已安裝軟件的獨特性,便可得出一個 32bit 的個人標籤。順帶一提,彈出式通知只是為了讓網民理解運作原理,實際上可以在暗中進行,用戶未必一定能發現,而檢查的應用軟件愈多,得出來的個人標籤自然愈詳細。

TOR、VPN 匿名上網失效 瀏覽器漏洞可產生個人標籤
通過特製編碼,可收集訪客電腦內安裝了哪些熱門軟件。

按此看:免費 VPN 洩露行蹤? 踢爆暗中記錄用家的資料及網上行蹤

最新瀏覽器全部有效

換言之,無論用戶以哪一款瀏覽器匿名上網,只要到訪了藏有 scheme flooding 的網站,便會被該網站收集並建立個人標籤,而每個標籤內的記錄均一模一樣;之後網站管理員只要比對不同訪客留下的個人標籤,理論上便可知道有哪些訪問要求是發自同一電子設備,即使用戶利用 TOR隱藏了 IP 地址,依然可因為 scheme flooding 收集回來的個人標籤而被識破真身。經專家測試,現時 Chrome 90、Firefox 88.0.1、Safari 14.1、Tor Browser 10.0.16 等最新瀏覽器都可成功執行 scheme flooding,幸好專家說現時被植入 scheme flooding 的網站亦未普及,因此還有機會讓瀏覽器開發商堵塞漏洞。

詳情:https://bit.ly/3f8daJi