Oko patrzące przez dziurkę od klucza, aby reprezentować ryzyko prywatności

Nowe rozszerzenie przeglądarki Google Chrome o nazwie Vytal uniemożliwia stronom internetowym korzystanie z programistycznych interfejsów API w celu znalezienia ujawnionej lokalizacji geograficznej, nawet podczas korzystania z VPN.

Wiele osób korzysta z VPN, aby ukryć swoją lokalizację lub połączyć się z innym krajem podczas przeglądania sieci. Ludzie robią to z różnych powodów, takich jak omijanie cenzury, blokad geograficznych lub po prostu dodatkowa prywatność w Internecie.

Chociaż VPN ukryje adres IP Twojego urządzenia, a tym samym Twoją fizyczną lokalizację, możliwe jest użycie funkcji JavaScript do zapytania o informacje bezpośrednio z przeglądarki internetowej, aby znaleźć ogólną lokalizację geograficzną odwiedzającego.

Na przykład Intl.DateTimeFormat ().ResolvedOptions () metoda może być użyta do pobrania strefy czasowej odwiedzającego witrynę, a Data (). ToLocaleString () może służyć do zwracania czasu lokalnego odwiedzającego.

Korzystając z tych informacji, witryna może określić, z jakiego kraju lub przynajmniej regionu geograficznego pochodzi odwiedzający, i nadal blokować treści lub śledzić ogólne informacje o odwiedzającym, nawet jeśli korzysta on z VPN.

Vytal dąży do wypełnienia luk

Zeszłej nocy programista „z0ccc” udostępnił nowe Rozszerzenie Vytal Google Chrome w Y Combinator’s Hacker News, prosząc czytelników o opinie na temat funkcjonalności.

„Vytal może sfałszować twoją strefę czasową, lokalizację, geolokalizację i agenta użytkownika. Te dane mogą być wykorzystywane do śledzenia lub ujawniania Twojej lokalizacji” – wyjaśnił z0ccc w HN Poczta.

„Większość rozszerzeń, które zapewniają funkcje zapobiegające odciskom palców, opiera się na skryptach treści w celu wstrzykiwania tagów skryptu na strony internetowe. Istnieje wiele ograniczeń dotyczących wstrzykiwania tagów skryptu, o których można przeczytać tutaj: https: //palant.info/2020/12/10/how-anti-fingerprinting-exten …

„Vytal wykorzystuje interfejs API chrome.debugger do fałszowania tych danych. Pozwala to na fałszowanie danych w ramkach, robotach sieciowych i podczas początkowego ładowania strony internetowej. Dzięki temu fałszowanie jest całkowicie niewykrywalne”.

Aby zilustrować, w jaki sposób JavaScript może być użyty do ujawnienia informacji o lokalizacji odwiedzającego, z0ccc utworzył https://vytal.io witryna wyświetlająca informacje, które można uzyskać bezpośrednio z komputera odwiedzającego, nawet jeśli korzysta on z VPN.

Na przykład, gdy ten autor łączył się z serwerem VPN w Londynie, witryna Vytal.io mogła nadal pobierać poprawną strefę czasową, lokalizację i czas mojego urządzenia, podając ogólną lokalizację, w której się znajduję.

Vytal.io używający JavaScript do ujawnienia informacji o lokalizacji
Źródło: BleepingComputer

Po zainstalowaniu rozszerzenia możesz określić swoją lokalizację z listy wstępnie wypełnionych miejsc, zmodyfikować dane, aby pasowały do ​​Twojego adresu IP lub dodać lokalizację niestandardową.

Użytkownicy powinni pamiętać, że po wybraniu opcji „Dopasuj adres IP” i połączeniu się z nowym serwerem VPN należy kliknąć przycisk „Załaduj ponownie”, aby wypełnić rozszerzenie nowymi sfałszowanymi danymi lokalizacji geograficznej.

Wybór lokalizacji w Vytal
Wybór lokalizacji w Vytal
Źródło: BleepingComputer

Na przykład po połączeniu się z londyńskim serwerem VPN i kliknięciu przycisku przeładowania ta sama strona pokazała teraz (w większości), że przebywam w Wielkiej Brytanii.

Lokalizacja spoofingu Vytal jako Londyn
Lokalizacja spoofingu Vytal jako Londyn
Źródło: BleepingComputer

Jak widać na powyższym obrazku, rozszerzenie nie jest w 100% idealne i może ujawnić prawidłowe informacje podczas początkowego ładowania strony.

Ponieważ między ładowaniem stron jest niewielkie opóźnienie, a debugerem zaczyna podszywać się pod dane, prawidłowe informacje użytkownika można pobrać podczas początkowego ładowania strony.

Mimo to, nawet jeśli początkowe ładowanie nie pokazuje sfałszowanych danych, skrypt świetnie sobie radzi, ukrywając informacje o lokalizacji, które można ujawnić za pomocą interfejsów API JavaScript.

Chociaż to rozszerzenie powinno działać we wszystkich przeglądarkach Chromium, w tym Brave Browser, nie można go przenieść do Mozilla Firefox, ponieważ przeglądarka nie obsługuje interfejsu API debugera.

z0ccc powiedział BleepingComputer, że rozszerzenie zostało początkowo utworzone, aby zapobiec wyciekowi danych o lokalizacji podczas korzystania z VPN i zapobiec innym ich projektom, zwanym ZlokalizujJSz wykrywania informacji o lokalizacji.

z0ccc planuje dodać dodatkowe funkcje do rozszerzenia, aby ułatwić korzystanie z niego, w tym listę dozwolonych witryn, które często odwiedzasz i które nie powinny otrzymywać sfałszowanych danych.

„Prawdopodobnie poprawi funkcję agenta użytkownika, aby można było wybrać agenta użytkownika w oparciu o system operacyjny, przeglądarkę, urządzenie itp. W przyszłości dodamy również funkcję białej listy”, udostępnił z0ccc za pośrednictwem poczty e-mail.

Dla tych, którzy chcą wypróbować Vytal, możesz zainstalować go z Sklep internetowy Google Chrome lub pobierz źródło z projektu Strona GitHub.

By admin

Leave a Reply

Your email address will not be published.