imágenes falsas
La posibilidad de que los sitios que visitan rastreen a los usuarios de la Web ha provocado varias contramedidas a lo largo de los años, incluido el uso de Tejón de privacidad o una extensión anti-rastreo alternativa, que permite sesiones de navegación privadas o de incógnito, o borra las cookies. Ahora, los sitios web tienen una nueva forma de derrotar a los tres.
La técnica aprovecha el uso de favicons, los pequeños iconos que los sitios web muestran en las pestañas del navegador de los usuarios y en las listas de marcadores. Investigadores de la Universidad de Illinois, Chicago dijeron en un nuevo papel que la mayoría de los navegadores almacenan en caché las imágenes en una ubicación separada de las que se utilizan para almacenar los datos del sitio, el historial de navegación y las cookies. Los sitios web pueden abusar de esta disposición al cargar una serie de favicons en los navegadores de los visitantes que los identifican de forma única durante un período de tiempo prolongado.
Potente vector de seguimiento
“En general, mientras que los favicons se han considerado durante mucho tiempo un recurso decorativo simple apoyado por los navegadores para facilitar la marca de los sitios web, nuestra investigación demuestra que introducen un poderoso vector de seguimiento que representa una amenaza significativa para la privacidad de los usuarios”, escribieron los investigadores. Continuaron:
El flujo de trabajo de ataque se puede implementar fácilmente en cualquier sitio web, sin la necesidad de interacción o consentimiento del usuario, y funciona incluso cuando se implementan las populares extensiones anti-seguimiento. Para empeorar las cosas, el comportamiento de almacenamiento en caché idiosincrásico de los navegadores modernos presta una propiedad particularmente atroz a nuestro ataque, ya que los recursos en la caché de favicon se utilizan incluso cuando se navega en modo incógnito debido a prácticas de aislamiento inadecuadas en todos los navegadores principales.
El ataque funciona contra Chrome, Safari, Edge y, hasta hace poco, Brave, que desarrolló una contramedida eficaz después de recibir un informe privado de los investigadores. Firefox también sería susceptible a la técnica, pero un error impide que el ataque funcione en este momento.
Los favicons proporcionan a los usuarios un pequeño icono que puede ser único para cada dominio o subdominio en Internet. Los sitios web los utilizan para ayudar a los usuarios a identificar más fácilmente las páginas que están abiertas actualmente en las pestañas del navegador o que están almacenadas en listas de marcadores.
Los navegadores guardan los iconos en un caché para que no tengan que solicitarlos una y otra vez. Esta caché no se vacía cuando los usuarios borran la caché o las cookies de su navegador, o cuando cambian a un modo de navegación privada. Un sitio web puede explotar este comportamiento almacenando una combinación específica de favicons cuando los usuarios lo visitan por primera vez y luego verificando esas imágenes cuando los usuarios vuelven a visitar el sitio, lo que permite que el sitio web identifique el navegador incluso cuando los usuarios han tomado medidas activas para evitar el seguimiento.
El rastreo del navegador ha sido una preocupación desde la llegada de la World Wide Web en la década de 1990. Una vez que fue fácil para los usuarios borrar las cookies del navegador, los sitios web idearon otras formas de identificar los navegadores de los visitantes.
Uno de esos métodos se conoce como huella digital del dispositivo, un proceso que recopila el tamaño de la pantalla, la lista de fuentes disponibles, las versiones de software y otras propiedades de la computadora del visitante para crear un perfil que a menudo es exclusivo de esa máquina. Un estudio de 2013 encontró que el 1,5 por ciento de los sitios más populares del mundo empleaban la técnica. La toma de huellas dactilares del dispositivo puede funcionar incluso cuando las personas utilizan varios navegadores. En respuesta, algunos navegadores han intentado frenar el seguimiento bloqueando los scripts de huellas digitales.
Dos segundos es todo lo que se necesita
Los sitios web pueden aprovechar el nuevo favicon canal lateral enviando a los visitantes a través de una serie de subdominios, cada uno con su propio favicon, antes de enviarlos a la página que solicitaron. La cantidad de redirecciones requeridas varía según la cantidad de visitantes únicos que tenga un sitio. Para poder rastrear 4.5 mil millones de navegadores únicos, un sitio web necesitaría 32 redirecciones, ya que cada redirección se traduce en 1 bit de entropía. Eso agregaría aproximadamente 2 segundos al tiempo que tarda en cargarse la página final. Con ajustes, los sitios web pueden reducir el retraso.
El periódico lo explica de esta manera:
Al aprovechar todas estas propiedades, demostramos un novedoso mecanismo de seguimiento persistente que permite a los sitios web volver a identificar a los usuarios en las visitas, incluso si están en modo de incógnito o han borrado los datos del navegador del lado del cliente. Específicamente, los sitios web pueden crear y almacenar un identificador de navegador único a través de una combinación única de entradas en la caché de favicon. Para ser más precisos, este seguimiento puede ser realizado fácilmente por cualquier sitio web redirigiendo al usuario en consecuencia a través de una serie de subdominios. Estos subdominios sirven a diferentes favicons y, por lo tanto, crean sus propias entradas en Favicon-Cache. Por consiguiente, se puede utilizar un conjunto de N subdominios para crear un identificador de N bits, que es único para cada navegador. Dado que el atacante controla el sitio web, puede obligar al navegador a visitar subdominios sin la interacción del usuario. En esencia, la presencia del favicon para el subdominio en la caché corresponde a un valor de 1 para el i-ésimo bit del identificador, mientras que la ausencia denota un valor de 0.
Los investigadores detrás de los hallazgos son: Konstantinos Solomos, John Kristoff, Chris Kanich y Jason Polakis, todos de la Universidad de Illinois, Chicago. Presentarán su investigación la próxima semana en el Simposio NDSS.
Un portavoz de Google dijo que la compañía está al tanto de la investigación y está trabajando en una solución. Mientras tanto, un representante de Apple dijo que la compañía está investigando los hallazgos. Ars también se puso en contacto con Microsoft y Brave, y ninguno tuvo un comentario inmediato para esta publicación. Como se señaló anteriormente, los investigadores dijeron que Brave ha introducido una contramedida que evita que la técnica sea efectiva, y otros fabricantes de navegadores dijeron que estaban trabajando en soluciones.
Hasta que haya correcciones disponibles, las personas que quieran protegerse deberían investigar la eficacia de deshabilitar el uso de favicons. Búsquedas aquí, aquí, y aquí enumere los pasos para Chrome, Safari y Edge respectivamente.