1. Firefox浏览器IndexedDB API隐私漏洞曝光
本文介绍了Firefox浏览器IndexedDB API存在的隐私漏洞,该漏洞影响所有基于Firefox的浏览器。网站可利用此漏洞,通过IndexedDB返回条目的顺序生成唯一、确定且稳定的进程生命周期标识符,即使在用户期望更强隔离性的环境中也能实现跨源和同源跟踪。
2. 漏洞详情是怎样的?
在Firefox隐私浏览模式和Tor浏览器中,`indexedDB.databases()`返回的数据库元数据顺序基于内部存储结构,而非数据库创建顺序。由于UUID映射在Firefox进程生命周期内稳定,哈希表结构和迭代顺序确定,返回的顺序成为生成的UUID值、哈希函数行为、哈希表容量和插入历史的确定性函数,且该顺序在标签页和隐私窗口之间持久存在,只有完全重启Firefox才会重置。
3. 隐私影响有哪些?
跨源影响方面,无关网站可独立推导相同标识符,在无cookie或其他共享存储的情况下跨域关联用户活动。同源影响方面,在Firefox隐私浏览模式下,即使关闭所有隐私窗口,只要Firefox进程仍在运行,标识符仍可持久存在;在Tor浏览器中,稳定标识符破坏了“新身份”功能的隔离性。
4. 漏洞如何修复?
修复方法是停止暴露源自内部存储布局的熵,最有效的缓解措施是按规范顺序(如字典排序)返回结果,这样既能保留API对开发者的实用性,又能消除指纹识别信号。
5. 负责任的披露情况如何?
研究团队已将此问题报告给Mozilla和Tor Project,Mozilla已在Firefox 150和ESR 140.10.0中发布修复补丁,该补丁在Mozilla Bug 2024220中跟踪。
6. Fingerprint如何帮助预防和检测在线欺诈?
虽然文章未详细提及Fingerprint如何预防和检测在线欺诈,但从其产品和服务可推测:设备智能平台方面,Fingerprint的Device Intelligence Platform可通过收集和分析设备的各种信息,如硬件指纹、软件配置等,为每个设备生成唯一的标识符,帮助识别异常设备和行为,从而预防和检测欺诈。智能信号方面,Smart Signals可能提供实时的欺诈检测信号,通过监测用户行为、交易模式等,及时发现潜在的欺诈活动。AI代理检测方面,AI Agent Detection可识别自动化脚本和机器人,防止它们进行欺诈性操作,如批量注册、刷票等。集成功能方面,通过与其他安全系统和服务集成,Fingerprint可以扩大其欺诈检测的范围和能力,提供更全面的安全防护。
7. 有哪些相关文章?
相关文章有介绍如何利用Chromium扩展程序泄露的时间戳跟踪用户在多个网站的活动的文章;探讨Safari 17的新反指纹识别技术对音频指纹识别和浏览器区分的影响的文章;提供检测账户共享的技术和将用户转化为付费客户的教程的文章;讨论iOS应用程序安全技术、优缺点及替代欺诈检测方法的文章。那么这些文章中还有哪些值得关注的内容呢?
