Cantino أندرو، نائب رئيس الهندسة في Mavenlink، بالتفصيل هجومه في blogpost الأسبوع الحادي والعشرين. ووفقا له، يمكن أن تستخدم لهجوم من قبل مهاجمين لاستهداف شخص أو منظمة معينة. مجرم الإنترنت يمكن تبادل وثيقة جوجل مع عنوان بريد إلكتروني، خيار التي جوجل يرسل المستلم إشعار تدقيق الامم المتحدة.
توقيت الهجوم المستخدمة لهوية DE-MASK TOR المستخدم
وقال Cantino الآن، وذلك باستخدام توقيت الهجوم استغلال التقنية، يمكن أن مجرم الانترنت معرفة عند تسجيل شخص في أي واحد من العناوين المشتركة يزور موقعهم. حتى يمكن للمهاجم استخدام هذا الهجوم في حملات التصيد الرمح أو حتى يمكن كشف هوية مستخدمي تور لو انهم بتسجيل الدخول إلى Google أثناء استخدام متصفح تور .
يمكن أن توقيت الهجوم السماح لكشف مستخدمي Google استهدافا لأنها تصفح الويب. وقال Cantino الهجوم واضح ومباشر. على سبيل المثال، إذا كنت السيطرة على الموقع وتريد أن تعرف عند مستخدم معين مع معينة من مرة عنوان Gmail موقع الويب الخاص بي، في هذه الحالة، يمكن أن تستخدم استغلال تقنية لتحديد هوية هذا المستخدم المستهدف، وهذا ايضا دون تحديد الكعكة.
إذا كان المستند غوغل مشاهدتها من قبل الزوار، وسوف يستغرق وقتا أطول لتحميل الصفحة من الناتج إذا كانت الوثيقة ليست للعرض.
" وبما أن النتيجة ليست صورة، يتم تشغيل رد onerror من الصورة في الحالتين، ولكن يمكننا تسجيل الزمن الذي يستغرقه من صورة لاثار مثيل من onerror. هذه المرة ستكون أكبر عندما يكون المستند الوصول إليها. ، في تجاربي، استغرق تحميل بمتوسط 891ms عندما كانت الوثيقة متاحة، ولكن 573ms عندما لم يكن قال Cantino "
الضحية. هذا النوع من استهداف الهجوم يمكن أن يساعد أيضا على تحديد المستخدمين تور، لو انهم تسجيل الدخول إلى حساب Google الخاصة بهم.
توقيت الهجوم
بالنسبة لأولئك الذين ليسوا على بينة من توقيت الهجوم، توقيت الهجوم هو نوع من الهجوم على قناة الجانب حيث المعلومات المكاسب المهاجمين من تنفيذ نظام تشفير وليس من أي الضعف المتأصل في الخصائص الرياضية للنظام.
توقيت الهجمات تستغل الاختلافات في توقيت عمليات التشفير. بسبب تحسينات الأداء والحسابية التي يقوم بها خوارزمية التشفير غالبا ما تأخذ كميات مختلفة من الوقت اعتمادا على المدخلات وقيمة المعلمة سرية.
العدد المبلغ عنها إلى Google - NO FIX
وذكرت تقارير ان القضية بمسؤولية لفريق الأمن جوجل أندرو Cantino، نائب رئيس الهندسة في Mavenlink. اعترف محرك البحث العملاق هذه القضية، لكنه امتنع عن إصلاحه لأن المخاطر، سواء من حيث التأثير وصعوبة استغلال هذه ضد عدد كبير من السكان، منخفضة.
" ، وأنا لا أختلف مع them- حقا هذا من الصعب إصلاح، والنظرية إلى حد ما "، وقال Cantino الذي سبق منحت مكافأة علة من جوجل عدة مرات. " ومع ذلك، أعتقد أن هذا هو مثال مثير للاهتمام من هجوم التوقيت، ويظهر مدى صعوبة هذا النوع من القضايا يمكن أن يكون لتجنب " .
0 التعليقات