DoNews 12月17日消息(刘文轩)浏览器开发商 Brave 的隐私团队最近发现一个新类型漏洞,这个漏洞被用来发动的攻击被被称为泳池派对的攻击(Pool-party Attacks)。第三方追踪器能够使用浏览器有限但共享的资源集合来创建侧通道,追踪器便能使用这些侧通道来跨站追踪用户,规避浏览器的隐私保护功能。
Brave 表示,目前已知所有浏览器都存在该漏洞,Brave 在接下来几周会释出相关更新,防范用户遭受泳池派对攻击。过去已经有部分文章发表类似的攻击研究,而泳池派对攻击的发现,建立在过去的研究成果,更完整呈现该类攻击的全貌。
多数浏览器都有防跨站追踪的保护机制,Brave、Firefox、Safari 或是 Tor Browser,都使用分区(Partitioning)的技术,来阻止追踪器跨网站追踪用户,也就是防止网站上的追踪器在用户浏览另一个网站时,关联两次浏览为同一用户。
但是 Brave 新发现的泳池派对攻击,能使分区保护失效,网站可以绕过浏览器中基于分区的隐私保护。Brave 表示,目前所有热门浏览器都受到泳池派对攻击的威胁,只要浏览器所提供的 API 满足特定功能,就能够被追踪器用于跨站追踪。