Создатели сервиса FingerprintJS на базе одноимённой JavaScript-библиотеки обнаружили уязвимость, которая позволяет сайту отслеживать пользователя устройства между различными браузерами, включая Chrome, Firefox, Microsoft Edge, Safari и даже Tor. Новая схема основана на возможности браузеров вызывать внешние приложения, установленные в системе (мессенджеры, видеоплееры и так далее), по URL-адресу. Например, при открытии в браузере ссылки для веб-конференции в Zoom будет предложено запустить соответствующий клиент. Это приводит к тому, что с помощью скрипта можно создать уникальный идентификатор устройства, объединяющий учётные записи пользователя.
Кроссбраузерная анонимность — это то, что сознательный интернет-пользователь считает само собой разумеющимся. Максимальную защиту конфиденциальности предлагает браузер Tor, но даже он, как оказалось, не гарантирует полную анонимность. Чтобы выполнить кроссбраузерное отслеживание, сайт создаёт профиль приложений, установленных на устройстве, пытаясь открыть их с помощью обработчиков URL-адресов. При этом происходит проверка, и если браузер обрабатывает ссылку и предлагает открыть соответствующее приложение, то это означает, что приложение установлено.
Поскольку установленные на устройстве приложения действуют одинаково, независимо от используемого браузера, это позволяет отследить действия пользователя как в Google Chrome и Firefox, так и в анонимном Tor. Используя этот сценарий, можно отследить 24 приложения: Skype, Spotify, Zoom, vscode, Epic Games, Telegram, Discord, Slack, Steam, Battle.net, Xcode, NordVPN, Sketch, TeamViewer, Microsoft Word, WhatsApp, Postman, Adobe, Messenger, Figma, Hotspot Shield, ExpressVPN, Notion и iTunes. У многих пользователей наверняка установлены сразу несколько приложений из этого перечня, что позволит соорудить уникальный ID.
Из четырёх основных браузеров, протестированных исследователями, только Google Chrome имеет средства защиты от таких атак, которые предотвращают многократные попытки использования обработчиков URL без участия пользователя. Однако запуск встроенного расширения Chrome, например, Chrome PDF Viewer, позволяет обойти это ограничение, и открытие PDF-файла перед пользовательским URL делает эксплойт работоспособным.
На текущий момент разработчики Chromium и Microsoft Edge работают над решением проблемы. Пока в браузерах не появилась защита от атаки через эту уязвимость, единственный способ предотвратить такой способ кроссбраузерного отслеживания — это использовать браузер на другом устройстве.
