Група дослідників, в яку увійшли фахівці іспанського Університету Деусто і французького дослідницького центру Eurecom, розповіла про незакриті уразливості, яка становить небезпеку практично для всіх сучасних браузерів. Фахівці повідомляють, що проблема актуальна для Chrome, Firefox і Safari, а також інших пов'язаних з Chromium браузерів, таких як Opera, «Яндекс браузер» і Comodo Dragon.
Виявлений баг дозволяє атакуючому з точністю 100% визначити, які саме розширення встановлені у користувача. Потім ця інформація може бути використана для деанонімізація і відстеження людей, що використовують VPN і Tor, а також для створення так званих «рекламних профілів».
Дослідники пояснюють, що вся справа в роботі WebExtensions API, який також застосовують нові версії Firefox, Edge, Vivaldi і Brave. Фахівці кажуть, що не тестували дані браузери, але, найімовірніше, вони теж уразливі перед знайденої проблемою.
Справа в тому, що WebExtensions API забороняє зловмисникам збір інформації про встановлені розширеннях, а також їх внутрішніх файлах і ресурсах, за допомогою спеціального файлу manifest.json. Але фахівці з'ясували, що браузерам, що використовують Chromium WebExtensions API, потрібно трохи більше часу для відповіді на запит від сайту, якщо той запитує інформацію про локальні файлах для неіснуючого розширення. Запити для фейковий і справжнього розширень будуть виглядати так:
- chrome-extension: // [fakeExtID] / [fakePath]
- chrome-extension: // [realExtID] / [fakePath]
У підсумку, використовуючи такі запити і незначну різницю в часі відповіді, зловмисники можуть зрозуміти, які розширення встановлені в браузері користувача, а які ні.
Фахівці пишуть, що старий API Firefox, який базується на XML, також вразливий перед подібними атаками. Гірше того, на випадок запиту неіснуючого доповнення, Firefox передбачає спеціальні помилки, що навіть спрощує справу.
Хоча Safari не використовує файли manifest.json і генерує випадковий URL для кожної сесії, браузер теж вразливий. Дослідники говорять, що в разі Safari потрібно лише «вгадати» випадковий URL, що, як показало тестування, не так важко: фахівці впоралися із завданням в 40,5% випадків.
З докладним доповіддю фахівців можна ознайомитися тут (PDF).