快下载这个 Chrome 扩展程序,否则你们可能会被“零宽度字符”扒掉底裤

雷锋网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

快下载这个 Chrome 扩展程序,否则你们可能会被“零宽度字符”扒掉底裤

雷锋网消息,4月5日,据外媒报道,软件开发者 Marco Chiappetta 开发了一款 Chrome 扩展程序,它能探测到那些使用“零宽度字符”技术获取指纹文本的企图。

这个 名为“用 emoji 替换零宽度字符”的扩展程序 现在已经可以在 Chrome Web Store 和GitHub 上下载了。

零宽度字符可用于"指纹识别"

Chiappetta 制作这款扩展程序也是受了英国安全研究人员 Rom Ross 文章的影响。在文章中,Ross 详细解释了各组织们如何使用零宽度字符来采集敏感指纹文本。在这种场景下,用户可能会受到“诱惑”,在未授权文档或另一个网页中进行复制粘贴。

Ross 还一并公布了概念验证代码,它成功将一些用户名夺走并将其转换成二进制代码,这样以来 1 就是零宽度的空格,而 0 则是零宽度的非连字符(Non-Joiner)。

这种采用零宽度字符的用户名二进制表示法随后会插入敏感文本。由于字符“零宽度”,人眼根本看不到文本。

用 emoji 替换零宽度字符的 Chrome 扩展程序

Ross 的概念验证代码也是为了唤起人们对此类攻击的意识,想匿名行事的举报者应该特别小心。

“如果你的职业比较敏感,可千万得提高警惕,复制文本时的风险可相当高。”Ross 说道。“愿意渲染零宽度字符的恐怕只有极少数应用。”

雷锋网了解到,想要发现此类攻击,通常要用到 Linux 命令行工具,对大多数非专业人士来说,这是很难跨越的门槛。不过,Chiappetta 的出现解决了这一问题, 随机的 emoji 可以解决零宽度字符的“隐身”问题。

该扩展程序并不会在页面加载时自动执行,用户需要按按键才能让零宽度字符现出原形。 这样设计是有意的,如果选择自动执行,本就自带 emoji 的文本可能会被误伤。

如果想要保护自己的“指纹”,就赶紧把这个扩展程序加入自己的 OpSec 武器库吧。当然 也别忘了 PDF 编辑工具,在发布 PDF 文档前可用它安全的编辑和删除元数据。

 

雷锋网 (公众号:雷锋网) Via.  Bleeping Computer

雷锋网版权文章,未经授权禁止转载。详情见。

快下载这个 Chrome 扩展程序,否则你们可能会被“零宽度字符”扒掉底裤

随意打赏

google chrome谷歌chrome浏览器chrome官方下载chrome扩展插件下载chrome扩展chrome扩展商店chrome 扩展chrome浏览器chrome下载chrome插件
提交建议
微信扫一扫,分享给好友吧。