聚焦源代码安全，网罗国内外最新资讯！

作者：Lindsey O'Donnell

编译：奇安信代码卫士团队

学术安全研究员指出，微软 Edge 浏览器是私密性最差的 web 浏览器之一，其私密性远不如流行的浏览器如谷歌 Chrome 和 Mozilla 火狐浏览器。

爱尔兰三一学院计算机科学和统计学院研究员 Douglas Leith 指出，Edge 浏览器将侵犯隐私的遥测数据发送回微软后端服务器，包括输入浏览页面的“可持久的”设备标识符和 URL。

Leith 衡量了web 浏览会话过程中六款浏览器和后端服务之间的连接。从这些衡量指标中他认为 Brave 浏览器的隐秘性最好，谷歌 Chrome、Mozilla 火狐和苹果 Safari 次之。微软 Edge 浏览器和俄罗斯的 web 浏览器 Yandex 属于第三梯队。本次研究并未包含 IE 浏览器，因为它基本用于遗留设备中。

Leith 在上周发布的研究论文中指出，“这项研究结果引发了关于浏览器正在发生的变化的讨论，包括允许用户在首次启动时取消半自动化搜索的选项。从隐私角度来看，微软 Edge 和 Yandex 和其它的浏览器存在质的不同。这两款浏览器都发送可用于向后端服务器发送连接请求（和相关 IP 地址/位置）的持久性标识符。”

此前相关的 web 浏览隐私研究工作衡量的是web 追踪和广告生态系统，或者检测并拦截追踪器的方法，但 Leith 认为这些分析已经假设浏览器本身是受信任的程序。浏览器联系后端基础设施来检查更新、便于运行现场测试（或者在完全发布前测试功能）或者提供遥测数据（从设备收集的数据）。而且，Leith 认为，虽然将用户数据和遥测数据传输给后端服务器并不被认为是隐私问题，但当这些数据能和某个具体用户绑定时就会发生问题。

他解释称，“当在多种传输过程中使用相同的标识符时，它可导致这些传输跨越时间进行关联。虽然将数据连接到某个浏览器实例并不会直接暴露用户的真实身份，但很多研究表明跨越时间连接的位置数据可被用于将用户身份去匿名化。”

为此，Leith 在研究论文中分析了数据是否允许服务器跨越时间追踪浏览器实例的 IP 地址以及浏览器是否会泄露所访问网页的详情。基于这些因素，Leith 发现微软 Edge 浏览器和Yandex 浏览器是所测试的隐私性最差的浏览器。

论文指出，Edge 浏览器将与设备硬件相连接的哈希标识符即硬件 UUIDs （通用唯一标识符）发送给微软，它们是“强大而长久的标识符，不可被轻易更改或删除”。更糟糕的是，用户无法禁用这种行为。

另外，Edge 浏览器还具有搜索半自动化功能，共享所访问网页的详情（可由用户禁用）。该功能能够将网页信息传输给看似和搜索半自动化不相关的服务器。Leith 还发现当使用 Brave 浏览器的默认设置时，它是“所研究浏览器中隐私性最好的浏览器”。Brave 浏览器并未使用任何可跨越时间追踪 IP 地址的标识符，而且并不会执行与后端服务器共享所访问网页详情的操作。

Chrome、火狐和 Safari 浏览器的隐私性被指介于 Brave 和微软 Edge/Yandex 之间。这三款浏览器都通过和浏览器实例连接的标识符来标记请求。虽然微软 Edge 浏览器的标识符无法被删除，但这些浏览器使用标记请求（仅在浏览器重启时是持久性的，但在重装浏览器时会被重置）。所有的这三款浏览器均通过半自动化功能和后端服务器共享网页详情，并在输入时将 web 地址实时发送给服务器。

分析指出，“Chrome 通过一个持久的标识符标记这些网址，使得它们能够连接起来。Safari 使用实证标记符，而火狐浏览器并不会随网址发送标识符。虽然搜索半自动化功能可由用户禁用，但在所有这三款浏览器中，在默认情况下该功能均被启用。”

微软尚未对此事置评。

推荐阅读

苹果公司被曝压下神秘的 iCloud 隐私泄漏bug

从此厄瓜多尔再无隐私：所有公民的个人详尽信息均遭泄露，维基解密创始人阿桑奇也受影响

原文链接

https://threatpost.com/microsoft-edge-privacy-busting-telemetry/153733/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 点个“在看”，一起玩耍