ค้นหาชื่อจริงของผู้ใช้ macOS แบบเดาสุ่มผ่านเบราว์เซอร์โดยใช้ mDNS

 (fingerprint.com)
3 คะแนน โดย GN⁺ 2023-07-14 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • บทความนี้สำรวจเทคนิคในการทราบชื่อของผู้ใช้ macOS โดยไม่ได้รับอนุญาต
  • เทคนิคนี้เกี่ยวข้องกับการเดาสุ่มจากรายชื่อชื่อยอดนิยมแยกตามเพศเพื่อระบุชื่อของผู้ใช้
  • โปรโตคอล mDNS ใช้สำหรับลงทะเบียน ค้นหา หรือประกาศชื่ออุปกรณ์บนเครือข่ายภายใน
  • อุปกรณ์ของ Apple เปิดเผยชื่อผู้ใช้ใน local hostname ซึ่งสามารถนำไปใช้กับเทคนิคการเดาสุ่มได้
  • สามารถ resolve hostname จากในเบราว์เซอร์ได้ด้วยการหลีกเลี่ยงการวัดเวลา
  • local hostname เริ่มต้นของ macOS มีทั้งชื่อผู้ใช้และชื่ออุปกรณ์รวมอยู่ด้วย
  • การโจมตีสามารถทำได้อย่างมีประสิทธิภาพมากขึ้นด้วยการจำกัดขอบเขตการค้นหาไว้ที่โลแคลเดียว อุปกรณ์เดียว และ 50 ชื่อที่พบบ่อยที่สุดในพื้นที่นั้น
  • เดโม proof of concept สามารถคาดเดาชื่อได้สำเร็จใน 65% ของกรณี
  • การโจมตีนี้มีข้อจำกัด และสามารถตรวจพบได้ง่ายผ่านเครื่องมือนักพัฒนาในเบราว์เซอร์
  • บทความนี้สำรวจขอบเขตของความเป็นส่วนตัวบนอินเทอร์เน็ต และเน้นให้เห็นศักยภาพของเทคนิคการละเมิดความเป็นส่วนตัวที่ไม่เป็นไปตามขนบ
  • เทคนิคการค้นหา mDNS สามารถใช้ตรวจจับอุปกรณ์บนเครือข่ายภายใน รวมถึงเครื่องพิมพ์ สมาร์ตทีวี และอุปกรณ์ IoT
  • เทคนิคนี้ยังสามารถใช้ได้กับ iPhone และ iPad ที่เปิดใช้งานฟีเจอร์บางอย่างไว้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-07-14
ความคิดเห็นจาก Hacker News
  • บทความเขียนได้ดี น่าสนใจ และใช้โทนที่ไม่ตื่นตระหนก
  • มีการระบุว่า Little Snitch เป็นเครื่องมือที่ต้องได้รับอนุญาตอย่างชัดเจนเพื่อบล็อกคำขอเครือข่าย
  • โดยค่าเริ่มต้น เครื่องมืออย่าง Little Snitch อาจอนุญาตคำขอเครือข่ายภายในแบบเงียบ ๆ ได้
  • บทความอธิบายว่าบราว์เซอร์สามารถใช้ mDNS เพื่อทำการโจมตีแบบ brute force หาชื่อจริงของผู้ใช้ macOS ได้อย่างไร
  • บทความเข้าถึงได้และเข้าใจง่าย แม้สำหรับผู้ที่ไม่คุ้นเคยกับ DNS หรือ JavaScript
  • บทความเน้นย้ำความเสี่ยงที่อาจเกิดขึ้นจากการโจมตีแบบ timing attack และการสแกนพอร์ตผ่านบราว์เซอร์
  • ความต่างของเวลาระหว่างที่อยู่ที่ถูกต้องกับที่อยู่ที่ไม่ถูกต้องนั้นน่าประหลาดใจ
  • การเลือกชื่อโฮสต์ของ macOS ก่อให้เกิดความกังวลด้านความเป็นส่วนตัว
  • การปิดใช้งาน JavaScript อาจส่งผลต่อประสบการณ์ของผู้ใช้ปลายทาง
  • บทความนำเสนอ proof of concept และมาตรการเพื่อล่อผู้โจมตี
  • ผู้แสดงความคิดเห็นชื่นชมคุณภาพของบทความ และเสนอวิธีสนุก ๆ ในการจัดการกับผู้โจมตี
  • ผู้แสดงความคิดเห็นบางส่วนมองว่าการเลือกชื่อโฮสต์ของอุปกรณ์บน macOS ไม่ใช่ข้อบกพร่อง แต่เป็นฟีเจอร์