專門製作瀏覽器指紋(browser-fingerprinting)資料庫的公司 FingerprintJS,警告現時有一種稱之為 Scheme flooding 的方法可以突破盲腸,通過瀏覽器點算用戶安裝於電腦內的應用軟件,據此製成一個個人身份標籤,就算用戶使用 VPN、 TOR 洋葱網絡 匿名上網,都有可能被找出真身!
目錄
什麼是 TOR?
翻牆神器 VPN 大家就聽得多或用得多,而 TOR(The Orion Router)又是什麼一回事? 它又稱為洋葱網絡,早於上世紀 90 年代已被美國海軍研究所開發,它原本的用途在於保護美國軍方及情報人員能匿名 上網,而去到 21 世紀初才開放讓所有人使用,並在 2006 年交由一間名為TOR Project 的非牟利機構監管。起初它的用戶主要是有可能受政權監控的人士,例如傳媒、社運組織,但由於其隱密性非常高,因此同樣受犯罪組織青睞,特別是現時的勒索軟件集團,更會於 TOR 架設專門用於發布受害企業機密資料樣本的網站。
運作原理
TOR之所以能夠保持隱密,首先要了解一般上網的過程。以瀏覽網站為例,用戶首先要經瀏覽器送出上網指示,經本地的 DNS 域名解析服務器取得目標網站的對應 IP 地址,發送訪問網站的請求。服務器確認無誤後,瀏覽器就可下載該網站的內容。在這過程中,DNS 服務器及目標網站的伺服器均可記錄到訪問者的 IP 地址,換言之便可追蹤及鎖定到訪人的真實身份。它的可靠之處,便是它會將用戶在到達目標網址前,經過至少三次或以上的 IP 地址轉換及加密,由於 TOR 在全球各地擁有數以百萬計的義務(volunteer)電腦,因此它可以隨機選出三部或以上的電腦執行這個被稱為「Three-loop system」的動作,變相令互聯網服務供應商、目標網站及 DNS域名解析服務器,都無法得知訪問者的真實身份。如果要簡單一點理解,可幻想為經過三間不會保存任何記錄的 VPN 供應商。
TOR上網的弊處
由於到訪網站必須進行三次 IP 地址轉換及加密解密,可想而知,必定會令上網速度下降,而且視乎負責轉換過程的義務電腦所處地區,有可能更加慢,基本上只可應付簡單的工作如收發電郵、瀏覽討論區(如Dark web討論區)等。另外,須注意不少網站均不支援 TOR 連線,例如 Facebook、Amazon 等,部分網站插件如 Java、 Flash 亦會無法顯示。用戶必須在安全與方便之間作出取捨。
個人標籤杜絕匿名 上網
今次 FingerprintJS 發現的 scheme flooding 跨瀏覽器識別真身技術,雖然未必可以百分之百鎖定利用不同瀏覽器上網的人為同一人,但已非常具有參考價值。專家解釋, scheme flooding 主要是通過將特定程式碼置於一個網站之中,每當有人到訪就會觸動這組編碼,繼而不停嘗試開啟訪客上網設備內的應用軟件,例如當瀏覽器執行開啟 “skype://”為開端的編碼時,系統便會彈出通知,詢問是否以 Skype 打開該連結,但如訪客的電子設備內並沒有安裝 Skype,則不會彈出通知。專家在測試中,特別加入了會逐一打開 32 款常用應用軟件的編碼,根據已安裝軟件的獨特性,便可得出一個 32bit 的個人標籤。順帶一提,彈出式通知只是為了讓網民理解運作原理,實際上可以在暗中進行,用戶未必一定能發現,而檢查的應用軟件愈多,得出來的個人標籤自然愈詳細。
按此看:免費 VPN 洩露行蹤? 踢爆暗中記錄用家的資料及網上行蹤
最新瀏覽器全部有效
換言之,無論用戶以哪一款瀏覽器匿名上網,只要到訪了藏有 scheme flooding 的網站,便會被該網站收集並建立個人標籤,而每個標籤內的記錄均一模一樣;之後網站管理員只要比對不同訪客留下的個人標籤,理論上便可知道有哪些訪問要求是發自同一電子設備,即使用戶利用 TOR隱藏了 IP 地址,依然可因為 scheme flooding 收集回來的個人標籤而被識破真身。經專家測試,現時 Chrome 90、Firefox 88.0.1、Safari 14.1、Tor Browser 10.0.16 等最新瀏覽器都可成功執行 scheme flooding,幸好專家說現時被植入 scheme flooding 的網站亦未普及,因此還有機會讓瀏覽器開發商堵塞漏洞。