行业新闻与博客

安全研究人员发现，Firefox 和 Chrome 具有严重的隐私缺陷，未经用户同意，会将用户的搜索词发送给其互联网服务提供商（ISP）。

Duy Khuong 在 4月首次发布 的 GitHub 帖子中声称，恶意攻击者还可以利用仍未在两个 Web 浏览器中修复的 bug 跟踪用户的在线行为。

他补充说，即使像 HTTP-over-HTTPS（DoH）那样的隐私保护措施的实施或使用亲隐私的 DuckDuckGo 搜索引擎也未能保护用户。

研究人员告诉 The Daily Swig，以 Chrome 的隐身模式或 Firefox 的私人浏览模式浏览也无法防止隐私泄露。

没有空格的单词

当用户在浏览器地址栏中键入单个单词或由连字符分隔的多个单词并按 Enter 时，就会出现此漏洞。（搜索词“无空格的单词”会触发该漏洞；“有空格的单词”不会触发）。

除了生成搜索引擎结果外，搜索词还会错误地中继到属于用户 ISP 的域名系统（DNS）服务器。

用户可以通过检查其 DNS日志来验证数据泄漏。

ISP 通常会跟踪用户访问哪些网页（尽管可以通过使用虚拟专用网络来避免访问），但是主要的浏览器并没有刻意共享用户的搜索习惯。

研究人员在他的 GitHub 帖子中警告说，恶意行为者还可能通过设置“恶意动态主机配置协议（DHCP）服务器”并将“用户的 DNS 后缀设置为”自己的服务器来跟踪用户的搜索历史。

DNS 遗留缺陷

Firefox 桌面副总裁 Selena Deckelmann 告诉 The Daily Swig，该漏洞是“ [DNS] 内置数十年的功能”的遗产，其中“单个字词的网站名称仍被私有和企业网络使用” 。

她补充说：“当用户在地址栏中输入单个单词时，Firefox 需要确定该用户是否打算搜索或访问这些本地单个单词网站之一。

您可能还喜欢 Firefox bug 赏金：Mozilla 筹集奖金并放弃“第一任记者获胜”政策

“这些站点永远不会在外部 DNS 中或通过 HTTP-over-HTTPS 解析器找到，这就是为什么我们回去咨询本地 DNS 的原因。”

自从 Chrome 83 成功以来，研究人员于 4月份成功地利用了最新版本的 Firefox 75 和 Chrome 81 上的漏洞，但怀疑更高版本也“很可能也会受到影响”。

“短期缓解”

Khuong 告诉 The Daily Swig，解决此问题可能会影响用户访问“本地单字网站”的能力。

但是，他建议“应将风险告知用户”，并可以选择避免该问题。

Deckelmann 表示这是 Mozilla 的计划。

她说：“作为短期缓解措施，我们计划为用户添加首选项，以控制 Firefox 78 中的这种行为。” “从长远来看，我们希望确定可靠的启发式方法，以限制对这些 DNS 查找的使用。”

Google 尚未回应 The Daily Swig 关于自己解决该漏洞的计划的询问。

INSIGHT HTTP-over-HTTPS 指南–一种新的 Web 协议如何旨在在线保护您的隐私

有趣的是，该问题已与可追溯至 2015年的 Chromium 错误跟踪器中的一个类似错误合并，该错误也尚未修复。

Chromium 小组于 4月14日发布的最新消息称，Covid-19 和从事该漏洞工作的一名雇员的离职推迟了补救措施。

研究人员说：“我怀疑这个错误是否会很快在 Chrome 中修复。”

Khuong 向可能担心隐私泄漏的用户提供建议，建议避免使用 DHCP 并手动设置 IP 地址，同时确保 DNS 后缀不包含“异常”地址。

他告诉 The Daily Swig，该问题并未影响 Tor 或 Microsoft Edge 浏览器。

研究人员于 4月13日向 Mozilla 和 Google 发出了警告。谷歌在一天后的 4月14日答复。

尽管研究人员在 5月13日发出了提醒，但 Firefox 无法响应，但 6月2日在 Bugzilla 上打开了一个错误报告。

本文由机器译制