您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给大壮旅
发送

0

快下载这个 Chrome 扩展程序,否则你们可能会被“零宽度字符”扒掉底裤

本文作者: 大壮旅 编辑:李勤 2018-04-06 09:23
导语:网络上真的步步是坑。

快下载这个 Chrome 扩展程序,否则你们可能会被“零宽度字符”扒掉底裤

雷锋网消息,4月5日,据外媒报道,软件开发者 Marco Chiappetta 开发了一款 Chrome 扩展程序,它能探测到那些使用“零宽度字符”技术获取指纹文本的企图。

这个名为“用 emoji 替换零宽度字符”的扩展程序现在已经可以在 Chrome Web Store 和GitHub 上下载了。

零宽度字符可用于"指纹识别"

Chiappetta 制作这款扩展程序也是受了英国安全研究人员 Rom Ross 文章的影响。在文章中,Ross 详细解释了各组织们如何使用零宽度字符来采集敏感指纹文本。在这种场景下,用户可能会受到“诱惑”,在未授权文档或另一个网页中进行复制粘贴。

Ross 还一并公布了概念验证代码,它成功将一些用户名夺走并将其转换成二进制代码,这样以来 1 就是零宽度的空格,而 0 则是零宽度的非连字符(Non-Joiner)。

这种采用零宽度字符的用户名二进制表示法随后会插入敏感文本。由于字符“零宽度”,人眼根本看不到文本。

用 emoji 替换零宽度字符的 Chrome 扩展程序

Ross 的概念验证代码也是为了唤起人们对此类攻击的意识,想匿名行事的举报者应该特别小心。

“如果你的职业比较敏感,可千万得提高警惕,复制文本时的风险可相当高。”Ross 说道。“愿意渲染零宽度字符的恐怕只有极少数应用。”

雷锋网了解到,想要发现此类攻击,通常要用到 Linux 命令行工具,对大多数非专业人士来说,这是很难跨越的门槛。不过,Chiappetta 的出现解决了这一问题,随机的 emoji 可以解决零宽度字符的“隐身”问题。

该扩展程序并不会在页面加载时自动执行,用户需要按按键才能让零宽度字符现出原形。这样设计是有意的,如果选择自动执行,本就自带 emoji 的文本可能会被误伤。

如果想要保护自己的“指纹”,就赶紧把这个扩展程序加入自己的 OpSec 武器库吧。当然也别忘了 PDF 编辑工具,在发布 PDF 文档前可用它安全的编辑和删除元数据。

 

雷锋网Via. Bleeping Computer

雷峰网版权文章,未经授权禁止转载。详情见转载须知

分享:
相关文章
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说