快下载这个 Chrome 扩展程序，否则你们可能会被“零宽度字符”扒掉底裤

消息，4月5日，据外媒报道，软件开发者 Marco Chiappetta 开发了一款 Chrome 扩展程序，它能探测到那些使用“零宽度字符”技术获取指纹文本的企图。

这个 名为“用 emoji 替换零宽度字符”的扩展程序 现在已经可以在 Chrome Web Store 和GitHub 上下载了。

零宽度字符可用于"指纹识别"

Chiappetta 制作这款扩展程序也是受了英国安全研究人员 Rom Ross 文章的影响。在文章中，Ross 详细解释了各组织们如何使用零宽度字符来采集敏感指纹文本。在这种场景下，用户可能会受到“诱惑”，在未授权文档或另一个网页中进行复制粘贴。

Ross 还一并公布了概念验证代码，它成功将一些用户名夺走并将其转换成二进制代码，这样以来 1 就是零宽度的空格，而 0 则是零宽度的非连字符（Non- Joiner）。

这种采用零宽度字符的用户名二进制表示法随后会插入敏感文本。由于字符“零宽度”，人眼根本看不到文本。

用 emoji 替换零宽度字符的 Chrome 扩展程序

Ross 的概念验证代码也是为了唤起人们对此类攻击的意识，想匿名行事的举报者应该特别小心。

“如果你的职业比较敏感，可千万得提高警惕，复制文本时的风险可相当高。”Ross 说道。“愿意渲染零宽度字符的恐怕只有极少数应用。”

了解到，想要发现此类攻击，通常要用到 Linux 命令行工具，对大多数非专业人士来说，这是很难跨越的门槛。不过，Chiappetta 的出现解决了这一问题， 随机的 emoji 可以解决零宽度字符的“隐身”问题。

该扩展程序并不会在页面加载时自动执行，用户需要按按键才能让零宽度字符现出原形。 这样设计是有意的，如果选择自动执行，本就自带 emoji 的文本可能会被误伤。

如果想要保护自己的“指纹”，就赶紧把这个扩展程序加入自己的 OpSec 武器库吧。当然 也别忘了 PDF 编辑工具，在发布 PDF 文档前可用它安全的编辑和删除元数据。

Via. Bleeping Computer