研究：瀏覽器快取漏洞就算在無痕模式也能追蹤使用者

伊利諾大學芝加哥分校的一群研究人員近日公布了一名為「Favicons及快取的故事：現代瀏覽器的持久追蹤」（Tales of Favicons and Caches: Persistent Tracking in Modern Browsers）研究報告，指出不論是Chrome或Safari瀏覽器，只要其快取功能支援Favicons，就可被第三方持續用來辨識與追蹤使用者，而且就算使用者切換至無痕模式、安裝廣告封鎖機制，甚至是清除快取，都於事無補。

Favicon為Favorites Icon的縮寫，指的是網頁的圖示，它是由網站業者所設計的網頁圖示，當使用者於瀏覽器中開啟分頁時，分頁上所出現的圖示便是Favicon。

研究人員指出，現代的瀏覽器的快取功能中都有一個Favicons專用的快取，由於它並不屬於HTTP快取，因此不會在使用者刪除瀏覽器快取、歷史紀錄或資料時受到影響，此外，它並未妥善地隔離無痕模式，且保存期限長達一年。

於是，研究人員設計了一個全新的追蹤機制，它利用Favicons的特性，再結合瀏覽器的許多指紋屬性，而讓網站得以在2秒內建置32位元的追蹤標識符。

此一追蹤機制可突破所有採用Favicons快取之現代瀏覽器的反追蹤防線，包括Chrome、Safari，甚至是強調隱私的Brave，而且就算使用者清除了快取、安裝廣告封鎖擴充程式、重新啟動系統，或是以VPN連線，都無法防範該機制的追蹤。對於Firefox，研究人員表示，他們在測試時意外發現Firefox內含一個臭蟲，才造成攻擊失靈，相信在Firefox修補臭蟲之後，也能成功追蹤Firefox用戶。

研究人員建議瀏覽器應變更其Favicons快取的作法，以防止相關的追蹤，亦已將研究成果提供給瀏覽器業者。