许多广告客户在其网络广告中使用了名为uXDT的技术。此技术可帮助他们跟踪访问习惯,以便他们可以更具体地将广告定位到用户。此时,攻击者可以嵌入可以在网页中发射超声的广告或JavaScript代码。当Tor用户使用Tor浏览器访问页面时,他可以使用附近的移动电话或计算机将目标设备劫持给广告商。发送标识信标以获得包含用户的敏感信息的数据。 攻击模型由六名研究人员组成,并于2016年底发布。据了解,他们还在2016年黑帽黑客会议和第33届混沌通信会议上展示了这种攻击技术。 基于超声波跨设备跟踪技术(uXDT)的攻击模型 他们的研究重点是超声波跨设备跟踪技术(uXDT),该技术已于2014年左右在现代广告平台中使用。 uXDT技术实现的基础是广告商在广告中隐藏的超声信号。当广告在电视或收音机上播放时,或者广告代码在移动设备或计算机上运行时,它会发出超声波信号,可供笔记本电脑,台式机,平板电脑或附近有麦克风的手机使用。抓获。在收听超声信号后,这些设备可以解析其中包含的隐藏指令,然后根据广告客户服务器返回的数据提取目标设备的相关信息。 广告商使用uXDT技术的原因是将不同设备连接到同一用户,了解用户的习惯,并向用户提供更合适的广告。 确实,超声波可用于对Tor用户进行去匿名化。 该团队的一名研究人员Vasilios Mavroudis在不久前举行的第33届混沌通信会议上描述了针对Tor用户的去匿名攻击,其中涉及Tor用户的现实。 IP和其他一些敏感数据。 这种攻击技术需要欺骗Tor用户点击包含广告或JavaScript代码的特制页面,该代码可以发出超声波信号,浏览器可以通过HTML5音频API发出超声波信号。 如果Tor用户的移动电话在其旁边并且移动电话中安装了特定应用程序,则他的移动电话将与一个或多个广告商服务器通信并将设备细节发送到服务器。此时,广告商可以将广告定制给用户并将用户的计算机链接到电话。 根据Mavroudis的说法,必须安装一个嵌入在移动设备中的广告SDK的应用,并且SDK必须支持uXDT。 这意味着情报机构只需要禁止纸张即可获得用户的真实身份以及广告客户的其他详细信息。
在Mavroudis进行的测试中,研究人员在分析了他们截获的超声信号后,获得了大量的用户信息,包括用户的真实IP地址,地理位置坐标,电话号码,AndroidID和设备。 IMEI代码,以及设备的MAC地址等。 发起这种攻击的方法不止一种。 根据Mavroudis的说法,除了使用社交工程技术诱骗Tor用户访问特定URL之外,还有很多方法可以发起此类攻击。 研究人员表示,攻击者可以利用XSS漏洞将恶意JavaScript代码注入包含XSS漏洞的网站。同样,攻击者可以为中间人攻击构建恶意Tor节点,然后通过注入恶意代码强制触发流经Tor伪节点的Tor流量中的所有uDXT信标。 还有一种更简单的方法可以将负责将超声波传输到Tor用户可能打开的某些视频或音频文件中的恶意代码。人耳听不到超声波,因此用户根本不会发现任何异常。 FBI肯定对这种攻击方法感兴趣,因为他们可以使用这种技术来跟踪使用Tor网络观看儿童色情视频的人,就像他们调查Playpen案例时一样,他们正在使用Adobe Flash漏洞。 针对uXDT攻击的缓解解决方案 目前,有关部门尚未对uXDT发布任何规定。目前,FTC的安全研究人员正在评估uXDT广告的影响。与此同时,该团队还为我们提供了一系列可以限制此类攻击的缓解方案。 首先,该团队开发了一个名为SilverDog的Chrome浏览器插件,用于过滤浏览器想要播放的HTML5音频文件,并删除可能存在的超声波。 不幸的是,如果用户使用Flash Player并播放音频文件,该插件将无法正常工作,并且不能保证Tor浏览器的用户,因为Tor浏览器基于Firefox。
此外,研究人员还提出了一种新的Android权限检测机制,用户或许可以检查AndroidApp的权限,以发现那些可能发出超声波的应用程序。
从长远来看,研究团队认为,相关部门应该为这种超声波广告信标制定行业标准,并开发一个可以检测和管理超声波信标的系统层API。此外,研究团队几个月前向Tor项目团队通报了这些信息,并希望Tor开发人员能够尽快解决问题。 以下是Mavroudis在第33届混沌通信大会上的演讲视频: *参考源:bleepingcomputer,FB小编Alpha_h4ck编译 黑客业务列表介绍和一般分类: 类别:攻击入侵破解开发 1:攻击业务订单:暂时取消所有此类业务订单[仅销售常规IDC流量] 2:入侵业务清单:包括网站源代码,办公系统,黑色系统,教育系统等。 3:破解业务类:软件,加密文件,二次打包,脱壳等。 4:二次开发业务清单:软件二次开发,源代码二次开发等 5:其他业务订单:特洛伊木马[通过所有防病毒],远程控制,特殊软件等 备注:未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间,请在咨询前阅读:业务交易流程及相关说明 注意:仅接受正式业务,个人无权接受。收集此内容。