雷鋒網(wǎng)消息，4月5日，據(jù)外媒報(bào)道，軟件開(kāi)發(fā)者 Marco Chiappetta 開(kāi)發(fā)了一款 Chrome 擴(kuò)展程序，它能探測(cè)到那些使用“零寬度字符”技術(shù)獲取指紋文本的企圖。

這個(gè)名為“用 emoji 替換零寬度字符”的擴(kuò)展程序現(xiàn)在已經(jīng)可以在 Chrome Web Store 和GitHub 上下載了。

零寬度字符可用于"指紋識(shí)別"

Chiappetta 制作這款擴(kuò)展程序也是受了英國(guó)安全研究人員 Rom Ross 文章的影響。在文章中，Ross 詳細(xì)解釋了各組織們?nèi)绾问褂昧銓挾茸址麃?lái)采集敏感指紋文本。在這種場(chǎng)景下，用戶(hù)可能會(huì)受到“誘惑”，在未授權(quán)文檔或另一個(gè)網(wǎng)頁(yè)中進(jìn)行復(fù)制粘貼。

Ross 還一并公布了概念驗(yàn)證代碼，它成功將一些用戶(hù)名奪走并將其轉(zhuǎn)換成二進(jìn)制代碼，這樣以來(lái) 1 就是零寬度的空格，而 0 則是零寬度的非連字符（Non-Joiner）。

這種采用零寬度字符的用戶(hù)名二進(jìn)制表示法隨后會(huì)插入敏感文本。由于字符“零寬度”，人眼根本看不到文本。

用 emoji 替換零寬度字符的 Chrome 擴(kuò)展程序

Ross 的概念驗(yàn)證代碼也是為了喚起人們對(duì)此類(lèi)攻擊的意識(shí)，想匿名行事的舉報(bào)者應(yīng)該特別小心。

“如果你的職業(yè)比較敏感，可千萬(wàn)得提高警惕，復(fù)制文本時(shí)的風(fēng)險(xiǎn)可相當(dāng)高?！盧oss 說(shuō)道?！霸敢怃秩玖銓挾茸址目峙轮挥袠O少數(shù)應(yīng)用。”

雷鋒網(wǎng)了解到，想要發(fā)現(xiàn)此類(lèi)攻擊，通常要用到 Linux 命令行工具，對(duì)大多數(shù)非專(zhuān)業(yè)人士來(lái)說(shuō)，這是很難跨越的門(mén)檻。不過(guò)，Chiappetta 的出現(xiàn)解決了這一問(wèn)題，隨機(jī)的 emoji 可以解決零寬度字符的“隱身”問(wèn)題。

該擴(kuò)展程序并不會(huì)在頁(yè)面加載時(shí)自動(dòng)執(zhí)行，用戶(hù)需要按按鍵才能讓零寬度字符現(xiàn)出原形。這樣設(shè)計(jì)是有意的，如果選擇自動(dòng)執(zhí)行，本就自帶 emoji 的文本可能會(huì)被誤傷。

如果想要保護(hù)自己的“指紋”，就趕緊把這個(gè)擴(kuò)展程序加入自己的 OpSec 武器庫(kù)吧。當(dāng)然也別忘了 PDF 編輯工具，在發(fā)布 PDF 文檔前可用它安全的編輯和刪除元數(shù)據(jù)。

 

雷鋒網(wǎng)Via. Bleeping Computer

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。