Leaky Images: Targeted Privacy Attacks in the Web
1. 论文简介
- 标题: Leaky Images: Targeted Privacy Attacks in the Web
- 作者: Cristian-Alexandru Staicu, Michael Pradel
- 单位: TU Darmstadt
- 会议: 28th USENIX Security Symposium (2019)
- 链接: https://www.usenix.org/conference/usenixsecurity19/presentation/staicu
研究背景
许多流行网站允许用户之间私密地共享图片,例如Facebook、Twitter、Google和Dropbox等。常见的实现方式是通过用户认证,确保只有特定用户能够访问共享图片。然而,这篇论文揭示了一种新的隐私攻击方式,即通过共享图片来跟踪用户的访问行为。
核心贡献
- 提出了“Leaky Images”隐私攻击,攻击者可借助共享图片来判断特定用户是否访问了攻击者控制的网站。
- 讨论了该攻击的多种变体,包括针对单个用户、用户群体的攻击,以及跨站点用户身份的关联。
- 发现了至少8个热门网站存在该漏洞,包括Facebook、Twitter、Google和Dropbox等。
- 提出了若干缓解措施,并讨论了其优缺点。
2. Leaky Images原理
攻击流程
- 攻击者在某个允许图片共享的网站上与受害者共享一张图片。
- 攻击者在其控制的网站中嵌入对这张图片的请求。
- 如果受害者访问了该网站并且其浏览器登录了共享图片的网站,则图片请求会成功,攻击者由此判断受害者是否访问了该网站。
攻击条件
Leaky Images攻击依赖以下条件:
- 攻击者和受害者都是同一个图片共享服务的用户。
- 攻击者能够共享图片给受害者。
- 受害者访问攻击者控制的网站时,浏览器已登录图片共享服务。
- 图片共享服务通过cookie验证用户身份,并且图片请求不受同源策略限制。
相关攻击对比
攻击方式 | 攻击者身份</ |
---|