雷鋒網(wǎng)消息，4月5日，據(jù)外媒報(bào)道，軟件開發(fā)者 Marco Chiappetta 開發(fā)了一款 Chrome 擴(kuò)展程序，它能探測到那些使用“零寬度字符”技術(shù)獲取指紋文本的企圖。

這個(gè)名為“用 emoji 替換零寬度字符”的擴(kuò)展程序現(xiàn)在已經(jīng)可以在 Chrome Web Store 和GitHub 上下載了。

零寬度字符可用于"指紋識別"

Chiappetta 制作這款擴(kuò)展程序也是受了英國安全研究人員 Rom Ross 文章的影響。在文章中，Ross 詳細(xì)解釋了各組織們?nèi)绾问褂昧銓挾茸址麃聿杉舾兄讣y文本。在這種場景下，用戶可能會受到“誘惑”，在未授權(quán)文檔或另一個(gè)網(wǎng)頁中進(jìn)行復(fù)制粘貼。

Ross 還一并公布了概念驗(yàn)證代碼，它成功將一些用戶名奪走并將其轉(zhuǎn)換成二進(jìn)制代碼，這樣以來 1 就是零寬度的空格，而 0 則是零寬度的非連字符（Non-Joiner）。

這種采用零寬度字符的用戶名二進(jìn)制表示法隨后會插入敏感文本。由于字符“零寬度”，人眼根本看不到文本。

用 emoji 替換零寬度字符的 Chrome 擴(kuò)展程序

Ross 的概念驗(yàn)證代碼也是為了喚起人們對此類攻擊的意識，想匿名行事的舉報(bào)者應(yīng)該特別小心。

“如果你的職業(yè)比較敏感，可千萬得提高警惕，復(fù)制文本時(shí)的風(fēng)險(xiǎn)可相當(dāng)高。”Ross 說道。“愿意渲染零寬度字符的恐怕只有極少數(shù)應(yīng)用?！?/p>

雷鋒網(wǎng)了解到，想要發(fā)現(xiàn)此類攻擊，通常要用到 Linux 命令行工具，對大多數(shù)非專業(yè)人士來說，這是很難跨越的門檻。不過，Chiappetta 的出現(xiàn)解決了這一問題，隨機(jī)的 emoji 可以解決零寬度字符的“隱身”問題。

該擴(kuò)展程序并不會在頁面加載時(shí)自動執(zhí)行，用戶需要按按鍵才能讓零寬度字符現(xiàn)出原形。這樣設(shè)計(jì)是有意的，如果選擇自動執(zhí)行，本就自帶 emoji 的文本可能會被誤傷。

如果想要保護(hù)自己的“指紋”，就趕緊把這個(gè)擴(kuò)展程序加入自己的 OpSec 武器庫吧。當(dāng)然也別忘了 PDF 編輯工具，在發(fā)布 PDF 文檔前可用它安全的編輯和刪除元數(shù)據(jù)。

 

雷鋒網(wǎng)Via. Bleeping Computer

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。