雷鋒網(wǎng)消息，4月5日，據(jù)外媒報道，軟件開發(fā)者 Marco Chiappetta 開發(fā)了一款 Chrome 擴展程序，它能探測到那些使用“零寬度字符”技術獲取指紋文本的企圖。

這個名為“用 emoji 替換零寬度字符”的擴展程序現(xiàn)在已經(jīng)可以在 Chrome Web Store 和GitHub 上下載了。

零寬度字符可用于"指紋識別"

Chiappetta 制作這款擴展程序也是受了英國安全研究人員 Rom Ross 文章的影響。在文章中，Ross 詳細解釋了各組織們如何使用零寬度字符來采集敏感指紋文本。在這種場景下，用戶可能會受到“誘惑”，在未授權文檔或另一個網(wǎng)頁中進行復制粘貼。

Ross 還一并公布了概念驗證代碼，它成功將一些用戶名奪走并將其轉換成二進制代碼，這樣以來 1 就是零寬度的空格，而 0 則是零寬度的非連字符（Non-Joiner）。

這種采用零寬度字符的用戶名二進制表示法隨后會插入敏感文本。由于字符“零寬度”，人眼根本看不到文本。

用 emoji 替換零寬度字符的 Chrome 擴展程序

Ross 的概念驗證代碼也是為了喚起人們對此類攻擊的意識，想匿名行事的舉報者應該特別小心。

“如果你的職業(yè)比較敏感，可千萬得提高警惕，復制文本時的風險可相當高?！盧oss 說道?！霸敢怃秩玖銓挾茸址目峙轮挥袠O少數(shù)應用。”

雷鋒網(wǎng)了解到，想要發(fā)現(xiàn)此類攻擊，通常要用到 Linux 命令行工具，對大多數(shù)非專業(yè)人士來說，這是很難跨越的門檻。不過，Chiappetta 的出現(xiàn)解決了這一問題，隨機的 emoji 可以解決零寬度字符的“隱身”問題。

該擴展程序并不會在頁面加載時自動執(zhí)行，用戶需要按按鍵才能讓零寬度字符現(xiàn)出原形。這樣設計是有意的，如果選擇自動執(zhí)行，本就自帶 emoji 的文本可能會被誤傷。

如果想要保護自己的“指紋”，就趕緊把這個擴展程序加入自己的 OpSec 武器庫吧。當然也別忘了 PDF 編輯工具，在發(fā)布 PDF 文檔前可用它安全的編輯和刪除元數(shù)據(jù)。

 

雷鋒網(wǎng)Via. Bleeping Computer

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉載。詳情見轉載須知。