伊利诺大学芝加哥分校的一群研究人员近日公布了一名为“Favicons及缓存的故事:现代浏览器的持久关注”(Tales of Favicons and Caches: Persistent Tracking in Modern Browsers)研究报告,指出不论是Chrome或Safari浏览器,只要其缓存功能支持Favicons,就可被第三方持续用来识别与关注用户,而且就算用户切换至无痕模式、安装广告封锁机制,甚至是清除缓存,都于事无补。
Favicon为Favorites Icon的缩写,指的是网页的图标,它是由网站企业所设计的网页图标,当用户于浏览器中打开分页时,分页上所出现的图标便是Favicon。
研究人员指出,现代的浏览器的缓存功能中都有一个Favicons专用的缓存,由于它并不属于HTTP缓存,因此不会在用户删除浏览器缓存、历史记录或资料时受到影响,此外,它并未妥善地隔离无痕模式,且保存期限长达一年。
于是,研究人员设计了一个全新的关注机制,它利用Favicons的特性,再结合浏览器的许多指纹属性,而让网站得以在2秒内置置32位元的关注标志符。
该关注机制可突破所有采用Favicons缓存之现代浏览器的反关注防线,包括Chrome、Safari,甚至是强调隐私的Brave,而且就算用户清除了缓存、安装广告封锁扩展程序、重新启动系统,或是以VPN连接,都无法防范该机制的关注。对于Firefox,研究人员表示,他们在测试时意外发现Firefox内置一个bug,才造成攻击故障,相信在Firefox修补bug之后,也能成功关注Firefox用户。
研究人员建议浏览器应变更其Favicons缓存的做法,以防止相关的关注,也已将研究成果提供给浏览器企业。