匿名通信安全？鼠标动作会暴露你的身份

注重隐私的人往往会采用 Tor 之类的工具匿名上网隐藏个人身份。但最新研究发现，以保护隐私著称的 Tor 浏览器未必如你想象般的安全—独立安全研究人员 Carlos Norte 发现了 Tor 的一个漏洞，该漏洞可识别用户的鼠标动作，从而与其身份关联起来。

将鼠标动作与用户身份关联起来的这项技术叫做 “用户指纹”。用户指纹是一项复杂的分析方法，可利用 “浏览器漏洞、cookies、浏览历史遗迹插件” 来跟踪用户行为方面的非标准数据，并在随后与特定个人关联起来。

网站可以使用这种方法在用户访问自己页面时生成其独特指纹。尽管用户通过 Tor 匿名浏览网页时身份得到很好的隐藏，但下次你再通过普通浏览器访问该网站时，由于有了你的指纹，该网站就可以通过指纹比对跟踪到你的身份。

实际上出卖你的是你的行为模式—你用鼠标的动作模式，每个人都有独特的鼠标使用习惯。目前 Norte 已经发现了不止一种技术能够揭开用户身份：其中一种办法是测量用户滚动鼠标的速度。此外攻击者还可以根据用户在页面移动鼠标的方式来识别其身份。

不过目前 Norte 只是在受控环境下测试了用户指纹采集技术，而且这种办法并不能保证 100%的准确率，但这无疑会引发对隐私保护的担忧，也许 Tor 之类的匿名工具需要新的手段来防止指纹采集才行。

此外，研究人员还发下指纹采集技术还可以识别用户的机器。通过在浏览器执行耗 CPU 资源的 Javascript，攻击者可以记录下执行任务所需的时间（每台机器的执行时间都不一样从而成为机器的指纹），然后利用这一信息探查使用了 Tor 上网的究竟是哪台机器—这个有点令人脊背发凉。