雷锋网消息,4月5日,据外媒报道,软件开发者 Marco Chiappetta 开发了一款 Chrome 扩展程序,它能探测到那些使用“零宽度字符”技术获取指纹文本的企图。
这个名为“用 emoji 替换零宽度字符”的扩展程序现在已经可以在 Chrome Web Store 和GitHub 上下载了。
Chiappetta 制作这款扩展程序也是受了英国安全研究人员 Rom Ross 文章的影响。在文章中,Ross 详细解释了各组织们如何使用零宽度字符来采集敏感指纹文本。在这种场景下,用户可能会受到“诱惑”,在未授权文档或另一个网页中进行复制粘贴。
Ross 还一并公布了概念验证代码,它成功将一些用户名夺走并将其转换成二进制代码,这样以来 1 就是零宽度的空格,而 0 则是零宽度的非连字符(Non-Joiner)。
这种采用零宽度字符的用户名二进制表示法随后会插入敏感文本。由于字符“零宽度”,人眼根本看不到文本。
Ross 的概念验证代码也是为了唤起人们对此类攻击的意识,想匿名行事的举报者应该特别小心。
“如果你的职业比较敏感,可千万得提高警惕,复制文本时的风险可相当高。”Ross 说道。“愿意渲染零宽度字符的恐怕只有极少数应用。”
雷锋网了解到,想要发现此类攻击,通常要用到 Linux 命令行工具,对大多数非专业人士来说,这是很难跨越的门槛。不过,Chiappetta 的出现解决了这一问题,随机的 emoji 可以解决零宽度字符的“隐身”问题。
该扩展程序并不会在页面加载时自动执行,用户需要按按键才能让零宽度字符现出原形。这样设计是有意的,如果选择自动执行,本就自带 emoji 的文本可能会被误伤。
如果想要保护自己的“指纹”,就赶紧把这个扩展程序加入自己的 OpSec 武器库吧。当然也别忘了 PDF 编辑工具,在发布 PDF 文档前可用它安全的编辑和删除元数据。
雷锋网Via. Bleeping Computer