Chrome、Safari、FireFox 眾多瀏覽器暫時無解的｢洪水｣漏洞

【美博翻牆2021.5.19】近日安全問題頻頻爆出震撼級漏洞，前不久wifi從一開始就與的漏洞居然存在了20多年，今天要給大家介紹的是普遍存在得到瀏覽器漏洞，目前還無解。

據資訊安全解決方案公司 FingerprintJS 公布的一項報告，一個被稱為｢方案洪水｣（scheme flooding） 的漏洞存在於 Chrome、Safari、FireFox、tor 等多款瀏覽器，可能導致用戶瀏覽器受到攻擊，並讓惡意人士得以追蹤用戶的隱私資料。

即使是用戶更換瀏覽器，也仍有可能被第三方惡意人士跨平台追蹤，也不能通過｢隱私瀏覽｣或是 VPN 迴避，目前受到影響的，主要是電腦版瀏覽器，手機版瀏覽器據報影響較小。

FingerprintJS 認為，這個漏洞的威脅，在於獲取用戶在網路上的行蹤或瀏覽紀錄，並藉此能更有針對性地推送廣告為主，惡意人士也可配合其後的其他資料庫及演算法，推算用戶的職業、偏好或年齡，有可能進一步辨識完整的個人資訊，例如找出政府要員的身份或其上網紀錄。

據悉，目前Chrome、Safari、FireFox、Tor 4 款瀏覽器中，只有 Google Chrome 的工程師知悉這個漏洞，並推出防範方式，但仍被成功繞開。

FingerprintJS 也發現，蘋果的 Safari 則毫無相關保護機制，成為最容易被攻擊的瀏覽器。

據了解，這項漏洞已經存在 5 年以上，如果用戶的電腦已經被攻擊，想不讓私密資料或對話曝光的唯一方式，仍只有繼續等待官方推出更新，或是改用其他電腦，形同是暫時無解的一項漏洞。

很顯然，這個漏洞的攻擊者是利用了大公司收集用於廣告投放的後門所致。這與前文【美博對瀏覽器安全使用的建議】提到的情況很類同。