Seguimiento del navegador mediante favicons – Schneier on Safety


Seguimiento del navegador mediante favicons

Interesante investigación sobre el seguimiento world-wide-web persistente mediante favicons. (Para aquellos que no lo sepan, los favicons son esos pequeños íconos que aparecen en las pestañas del navegador junto al nombre de la página).

Resumen: Las amenazas a la privacidad del rastreo en línea han atraído una atención sizeable en los últimos años por parte de investigadores y profesionales por igual. Esto ha hecho que los usuarios se vuelvan más cautelosos con la privacidad y que los proveedores de navegadores adopten gradualmente contramedidas para mitigar ciertas formas de seguimiento basado en cookies y sin cookies. No obstante, la complejidad y la naturaleza rica en funciones de los navegadores modernos a menudo conducen al despliegue de funciones aparentemente inofensivas de las que los adversarios pueden abusar fácilmente. En este artículo presentamos un mecanismo de seguimiento novedoso que hace un mal uso de una función de navegador basic pero ubicua: favicons. Más detalladamente, un sitio world-wide-web puede rastrear a los usuarios en las sesiones de navegación almacenando un identificador de rastreo como un conjunto de entradas en la caché de favicon dedicada del navegador, donde cada entrada corresponde a un subdominio específico. En las visitas posteriores del usuario, el sitio internet puede reconstruir el identificador observando qué favicons solicita el navegador mientras el usuario es redirigido automática y rápidamente a través de una serie de subdominios. Más importante aún, el almacenamiento en caché de favicons en los navegadores modernos exhibe varias características únicas que hacen que este vector de seguimiento sea particularmente poderoso, ya que es persistente (no afectados por los usuarios que borran los datos de su navegador), no destructivos (la reconstrucción del identificador en visitas posteriores no altera la combinación existente de entradas en caché), e incluso cruza el aislamiento del modo incógnito. Evaluamos experimentalmente varios aspectos de nuestro ataque y presentamos una serie de técnicas de optimización que hacen que nuestro ataque sea práctico. Descubrimos que la combinación de nuestra técnica de seguimiento basada en favicon con atributos inmutables de huellas dactilares del navegador que no cambian con el tiempo permite que un sitio web reconstruya un identificador de seguimiento de 32 bits en 2 segundos. Además, nuestro ataque funciona en todos los navegadores principales que utilizan una caché de favicon, incluidos Chrome y Safari. Debido a la gravedad de nuestro ataque, proponemos cambios en el comportamiento de almacenamiento en caché de favicon de los navegadores que pueden evitar esta forma de seguimiento, y hemos revelado nuestros hallazgos a los proveedores de navegadores que actualmente están explorando estrategias de mitigación adecuadas.

Otro investigador ha implementado este prueba de concepto:

Strehle ha creado un sitio world-wide-web que demuestra lo fácil que es rastrear a un usuario en línea usando un favicon. Dijo que es para fines de investigación, publicó su código fuente en línea y detalló una larga explicación de cómo funcionan las supercookies en su sitio web.

La parte más aterradora de la vulnerabilidad del favicon es la facilidad con la que pasa por alto los métodos tradicionales que las personas usan para mantenerse privados en línea. Según Strehle, la supercookie pasa por alto el modo «privado» de Chrome, Safari, Edge y Firefox. Limpiar tu caché, navegar detrás de una VPN o usar un bloqueador de anuncios no impedirá que un favicon malicioso te rastree.

Publicado el 17 de febrero de 2021 a las 6:05 AM •
1 comentarios



Enlace a la noticia primary