一种新的针对性攻击可用于识别匿名网站访问者

新泽西理工学院的研究人员上周公布了一种新型针对性攻击的细节，这种攻击可以揭露据称是匿名的网站访问者的身份。它允许控制网站的恶意行为者确定是否有特定目标用户访问该网站。它通过使用 YouTube、Google Drive 或 Dropbox 等服务来实现这一点，用户可以在后台登录这些服务来识别匿名 ID，例如用户名。这是一种很难防范的攻击，因为它不依赖于 cookie、浏览器指纹或任何常用的跟踪网站访问者的方法，而 Firefox 和 Safari 等浏览器已经开始阻止这些方法。

如果你不了解这种攻击的工作原理，那么它有点复杂，所以让我们来分析一下。它依赖于攻击者拥有的三样东西：

• 控制其目标可能访问（或被诱骗访问）的网站。
• 他们的目标的电子邮件地址、Facebook 帐户、Twitter 帐户或其他可公开识别的个人资料。
• 类似 Facebook、YouTube、Google Drive 或 Dropbox 的服务允许与特定用户共享文档、文件或任何其他内容。

攻击者必须假设，他们的目标可能与大多数互联网用户一样，一直登录着大多数此类资源共享服务。毕竟，这正是 Facebook 能够追踪大量用户数据的原因。

[相关：借助特定于站点的“cookie 罐”，Firefox 希望遏制用户跟踪]

简单版的攻击大致如下：假设一个黑客想在我的计算机上安装类似 Pegasus 间谍软件的东西，但他们不想在每个网站访问者的计算机上安装它，因为他们担心安全研究人员会发现它并想出缓解威胁的方法。他们知道我喜欢科学技术，因为我为《大众科学》撰稿，他们也知道我的电子邮件地址，因为它是公开的。为了针对我，他们可以建立一个虚假的科学新闻稿网站（或者更好的是，通过勒索或黑客手段控制一个合法网站），并在页面中嵌入 Google 文档。该文档设置为对所有人公开，除了一个被阻止的 Google 帐户（与我的电子邮件地址关联的帐户）。

如果您或其他任何人访问该页面，文档将正常加载。但是，如果我访问该页面（并且我在后台登录了 Gmail），文档将不会加载。黑客看不到任何这些，但他们可以使用 Javascript 探测 CPU 缓存的性能，这可以测量读取数据所需的时间，并以此推断文档是否正在为用户加载。在完全控制网站并锁定目标用户后，他们可以部署零日“零点击”攻击，在我不知情的情况下将他们的间谍软件安装到我的电脑上，并且不会错误地为其他人安装。他们所要做的就是让我访问该网站。

虽然这在很大程度上是一次有针对性的攻击，但研究人员还提出了另一种更广泛的攻击用例。如果 FBI 发现匿名极端分子正在使用论坛并能够控制它（他们过去曾使用过这种策略），他们就可以根据与该组织有关的可疑 Facebook 帐户列表，对一些用户进行匿名化。

它还会影响许多不同类型的设备和浏览器。研究人员在多种桌面和移动 CPU 架构（包括英特尔、苹果和高通）、操作系统（包括 Windows、macOS 和 Android）、浏览器（包括 Chrome、Safari、Firefox 和专注于安全的 Tor 浏览器）以及流行的资源共享服务（包括谷歌、推特、领英、TikTok、Facebook、Instagram 和 Reddit）中使用它。他们得出的结论是“绝大多数互联网用户都容易受到攻击”。

即使你知道自己容易受到攻击，这种攻击仍然难以预防。研究人员已经联系了受影响的浏览器供应商和共享服务，但表示没有“立即修复……不会严重影响用户浏览体验”。在此期间，他们发布了一款名为 Leakuidator+ 的 Chrome 和 Firefox 插件，该插件可以缓解某些攻击变体，方法是从任何潜在风险请求中删除第三方识别数据（如 cookie）。

同时，用户可以采取预防措施，不要向共享服务提供不必要的登录信息，不要在其他设备（例如工作电脑）上登录个人账户或反之亦然，并使用 Safari、Tor、Firefox 或其他默认限制第三方 cookie 的浏览器（因为它使某些攻击变体无法实现）。

几乎所有这些措施都会让上网变得不那么愉快和不方便——但如果你担心自己可能成为复杂的有针对性（可能由国家支持）攻击的受害者，这就是你必须做出的牺牲。这些是苹果新推出的锁定模式旨在应对的黑客类型。