1736156284
2025-01-03 16:30:00
論文「Cascading Spy Sheets: Exploiting the Complexity of Modern CSS for Email and Browser Fingerprinting」の視覚化 クレジット: CISPA
プロセッサーの種類、IP アドレス、使用中のブラウザー、インストールされているフォントなど、ブラウザーの設定や基盤となるオペレーティング システムのこれらおよびその他の特性を収集することで、ユーザーの非常に詳細な、場合によっては固有のプロファイルを作成することができます。この現象はブラウザのフィンガープリントとして知られています。
あ 勉強 CISPAの研究者Leon Trampertらは、この追跡方法がWeb閲覧時だけでなく電子メールにも適用できることを示唆している。この追跡方法は、WebサイトをデザインするためのCSS(カスケード・スタイル・シート)、マークアップの使用というこれまで研究されていなかった方法によって行われる。
Web サイト訪問者の大規模なグループの中でも、あなたはおそらく一意に識別可能です。なぜ?プログラミング言語 JavaScript が使用されている場所 (事実上 Web 全体) では、デバイスの特定の属性とその設定も収集できます。これらの詳細は主に、Web 開発者がより優れたユーザー エクスペリエンスと機能を作成できるようにすることを目的としています。
しかし、いつものことですが、知識は力であり、誰もが自分に関するこの知識が世に出ることを望んでいるわけではありません。
「今では、JavaScript によるフィンガープリンティングはかなりよく知られています。プライバシーを特に気にする人々は、JavaScript をブロックすることで身を守ることができます。これは、プラグインまたは Tor ブラウザを使用して行うことができます。たとえば、これは迫害を恐れるジャーナリストにとって役立ちます。」 」とレオン・トランパートは説明する。
最新の CSS からデータが漏洩
1 つのドアが閉まると、別のドアが開きます。これは指紋採取にも当てはまります。 「研究者らは最近、CSS の使用を通じてユーザーに関する情報も漏洩する可能性があることを発見しました」と Trampert 氏は言います。 CSS (カスケード スタイル シートの略) は、テキスト、画像、メニューが正しく表示されることを保証し、Web サイト上の要素のフォント、色、サイズを決定し、ビューをさまざまな画面サイズに適応できるようにします。
「CSS は近年ますます人気が高まっており、多くの新機能が追加されています。その一部は、プライバシーを侵害する可能性について研究仲間によってすでに分析されています。しかし、全体的なレビューはまだ行われていません。」
そこで、数か月前、Trampert は最新の CSS 関数を体系的に研究することにしました。 「私たちは、それによってどれだけのことが明らかになるのか、そして CSS が Web の外側でも追跡できるかどうかを知りたかったのです。」
わかりやすいフォント
Trampert 氏は、複数のフィンガープリント手法を検討し、CSS を使用してユーザー フィンガープリントを作成するための 3 つの手法を特定しました。
「私たちは当初、さまざまな設定を持つブラウザとオペレーティング システムの 1,176 の組み合わせを分析し、97.95% のケースでユーザーのシステムを推測することができました。たとえば、インストールされているフォントは明らかになる可能性があります。それらはブラウザ、オペレーティング システム、およびインストールされたプログラムです」とトランパート氏は説明します。
研究者たちはいくつかのトリックを使ってフォントを特定しました。 「この情報をプレーンテキストで見ることはできませんが、たとえば、特定の便利な CSS 関数を活用することで、単語の高さと幅を測定することができます。これから、フォントだけでなくシステム言語も推測できます。 」とトランパート氏は言う。
CSS により Web を超えた追跡が可能になります
彼にとってさらにエキサイティングだったのはテストだった 電子メール アプリケーション。 JavaScript は多くの電子メール クライアントでデフォルトでブロックされることがよくありますが、CSS の使用はほとんど制限されていません。
「私たちは、Android、iOS、デスクトップ、Web ベースのクライアントを含む 21 の電子メール クライアントをテストしました。9 つのケースで、すべてのテクニックをうまく適用し、ユーザーに関する情報を収集することができました。21 の電子メール クライアントのうち 18 には、次の脆弱性がありました。少なくとも 1 つのテクニックです」とトランパート氏は説明します。
Trampert 氏によると、これによりまったく新しい脅威シナリオが生まれる可能性があります。 「たとえば、攻撃は訪問者の Web セッションを電子メール アカウントにリンクしたり、特定のユーザーのすべての電子メール アドレスを特定したりすることを目的とする可能性があります。」と彼は説明します。
今は何ですか?
Web を閲覧している人は誰でも、トラッキング Cookie と JavaScript によってすでに無意識のうちに測定されています。
「それでも、どのような技術的可能性が存在するのか、また、ここで見られるように、電子メール プログラムでも突然、悪用の新たな機会が生じる場所を実証することが重要です。そうして初めて、堅牢な防御メカニズムを開発できるのです」と Trampert 氏は言います。
博士号学生は、CISPA 教員の Michael Schwarz 博士と Christian Rossow 教授の監督の下、CISPA で研究を行っており、今後も電子メールのセキュリティ問題に取り組み続けるつもりです。
詳細情報:
Leon Trampert 他、Cascading Spy Sheets: Exploiting the Complexity of Modern CSS for Email and Browser Fingerprinting (2024)。 DOI: 10.60882/cispa.27194472.v2
CISPA ヘルムホルツ情報セキュリティセンター提供
引用: デジタル フィンガープリント: カスケード スタイル シートによりユーザーは追跡に対して脆弱になります (2025 年 1 月 3 日) https://techxplore.com/news/2025-01-digital-fingerprint-cascading-style-sheets.html より 2025 年 1 月 6 日に取得
この文書は著作権の対象です。個人的な研究や研究を目的とした公正な取引を除き、書面による許可なしにいかなる部分も複製することはできません。コンテンツは情報提供のみを目的として提供されています。
#カスケード #スタイル #シートによりユーザーは追跡に対して脆弱になります