研究：浏览器快取漏洞就算在无痕模式也能追踪使用者

伊利诺伊大学芝加哥分校的一群研究人员近日公布了一名为“Favicons及快取的故事：现代浏览器的持久追踪”（Tales of Favicons and Caches: Persistent Tracking in Modern Browsers）研究报告，指出不论是Chrome或Safari浏览器，只要其快取功能支援Favicons，就可被第三方持续用来辨识与追踪使用者，而且就算使用者切换至无痕模式、安装广告封锁机制，甚至是清除快取，都于事无补。

Favicon为Favorites Icon的缩写，指的是网页的图示，它是由网站业者所设计的网页图示，当使用者于浏览器中开启分页时，分页上所出现的图示便是Favicon。

研究人员指出，现代的浏览器的快取功能中都有一个Favicons专用的快取，由于它并不属于HTTP快取，因此不会在使用者删除浏览器快取、历史纪录或资料时受到影响，此外，它并未妥善地隔离无痕模式，且保存期限长达一年。

于是，研究人员设计了一个全新的追踪机制，它利用Favicons的特性，再结合浏览器的许多指纹属性，而让网站得以在2秒内建置32位元的追踪标识符。

此一追踪机制可突破所有采用Favicons快取之现代浏览器的反追踪防线，包括Chrome、Safari，甚至是强调隐私的Brave，而且就算使用者清除了快取、安装广告封锁扩充程式、重新启动系统，或是以VPN连线，都无法防范该机制的追踪。对于Firefox，研究人员表示，他们在测试时意外发现Firefox内含一个臭虫，才造成攻击失灵，相信在Firefox修补臭虫之后，也能成功追踪Firefox用户。

研究人员建议浏览器应变更其Favicons快取的作法，以防止相关的追踪，亦已将研究成果提供给浏览器业者。