More

    Novo hack de rastreamento de navegador funciona mesmo quando você libera caches ou fica anônimo


    Getty Images

    A possibilidade de os usuários da Web serem rastreados pelos sites que visitam gerou várias contra-medidas ao longo dos anos, incluindo o uso de Privacy Badger ou uma extensão anti-rastreamento alternativa, permitindo sessões de navegação privadas ou anônimas ou limpando cookies. Agora, os sites têm uma nova maneira de derrotar os três.

    A técnica aproveita o uso de favicons, os pequenos ícones que os sites exibem nas guias do navegador dos usuários e nas listas de favoritos. Pesquisadores da Universidade de Illinois, em Chicago, disseram em um novo artigo que a maioria dos navegadores armazena as imagens em um local diferente daquele usado para armazenar dados do site, histórico de navegação e cookies. Os sites podem abusar desse arranjo ao carregar uma série de favicons nos navegadores dos visitantes que os identificam de forma exclusiva por um longo período de tempo.

    Poderoso vetor de rastreamento

    “No geral, enquanto os favicons há muito são considerados um recurso decorativo simples suportado por navegadores para facilitar a marca dos sites, nossa pesquisa demonstra que eles apresentam um vetor de rastreamento poderoso que representa uma ameaça significativa à privacidade dos usuários”, escreveram os pesquisadores. Eles continuaram:

    O fluxo de trabalho de ataque pode ser facilmente implementado por qualquer site da Web, sem a necessidade de interação ou consentimento do usuário, e funciona mesmo quando extensões populares de anti-rastreamento são implantadas. Para piorar a situação, o comportamento de cache idiossincrático dos navegadores modernos empresta uma propriedade particularmente notória ao nosso ataque, pois os recursos do cache de favicon são usados ​​mesmo durante a navegação no modo anônimo devido a práticas de isolamento inadequadas em todos os principais navegadores.

    O ataque funciona contra o Chrome, Safari, Edge e, até recentemente, Brave, que desenvolveu uma contramedida eficaz após receber um relatório privado dos pesquisadores. O Firefox também seria suscetível à técnica, mas um bug impede que o ataque funcione no momento.

    Os favicons fornecem aos usuários um pequeno ícone que pode ser exclusivo para cada domínio ou subdomínio na Internet. Os sites os usam para ajudar os usuários a identificar mais facilmente as páginas que estão abertas nas guias do navegador ou armazenadas em listas de favoritos.

    Os navegadores salvam os ícones em um cache para que não tenham que solicitá-los repetidamente. Esse cache não é esvaziado quando os usuários limpam o cache do navegador ou os cookies, ou quando mudam para um modo de navegação privada. Um site pode explorar esse comportamento armazenando uma combinação específica de favicons quando os usuários o visitam pela primeira vez e, em seguida, verificando essas imagens quando os usuários o visitam novamente, permitindo que o site identifique o navegador mesmo quando os usuários tomam medidas ativas para evitar o rastreamento.

    O rastreamento do navegador tem sido uma preocupação desde o advento da World Wide Web na década de 1990. Depois que ficou fácil para os usuários limpar os cookies do navegador, os sites criaram outras maneiras de identificar os navegadores dos visitantes.

    Um desses métodos é conhecido como impressão digital do dispositivo, um processo que coleta o tamanho da tela, lista de fontes disponíveis, versões de software e outras propriedades do computador do visitante para criar um perfil que geralmente é exclusivo para aquela máquina. Um estudo de 2013 descobriu que 1,5% dos sites mais populares do mundo empregavam a técnica. A impressão digital do dispositivo pode funcionar mesmo quando as pessoas usam vários navegadores. Em resposta, alguns navegadores tentaram restringir o rastreamento bloqueando scripts de impressão digital.

    Dois segundos é tudo o que preciso

    Os sites podem explorar o novo canal lateral do favicon, enviando os visitantes por meio de uma série de subdomínios – cada um com seu próprio favicon – antes de entregá-los à página solicitada. O número de redirecionamentos necessários varia de acordo com o número de visitantes únicos de um site. Para ser capaz de rastrear 4,5 bilhões de navegadores únicos, um site precisaria de 32 redirecionamentos, pois cada redirecionamento se traduz em 1 bit de entropia. Isso adicionaria cerca de 2 segundos ao tempo que leva para a página final carregar. Com ajustes, os sites podem reduzir o atraso.

    O artigo explica da seguinte maneira:

    Aproveitando todas essas propriedades, demonstramos um novo mecanismo de rastreamento persistente que permite que os sites identifiquem novamente os usuários nas visitas, mesmo que eles estejam no modo anônimo ou tenham apagado os dados do navegador do lado do cliente. Especificamente, os sites podem criar e armazenar um identificador de navegador exclusivo por meio de uma combinação única de entradas no cache de favicon. Para ser mais preciso, esse rastreamento pode ser facilmente realizado por qualquer site, redirecionando o usuário de acordo com uma série de subdomínios. Esses subdomínios atendem a diferentes favicons e, assim, criam suas próprias entradas no Favicon-Cache. Conseqüentemente, um conjunto de N-subdomínios pode ser usado para criar um identificador de N bits, que é exclusivo para cada navegador. Como o invasor controla o site, ele pode forçar o navegador a visitar subdomínios sem qualquer interação do usuário. Em essência, a presença do favicon para subdomínio no cache corresponde a um valor de 1 para o i-ésimo bit do identificador, enquanto a ausência denota um valor de 0.

    Os pesquisadores por trás das descobertas são: Konstantinos Solomos, John Kristoff, Chris Kanich e Jason Polakis, todos da Universidade de Illinois, em Chicago. Eles apresentarão suas pesquisas na próxima semana no Simpósio NDSS.

    Um porta-voz do Google disse que a empresa está ciente da pesquisa e está trabalhando em uma correção. Enquanto isso, um representante da Apple disse que a empresa está analisando as descobertas. Ars também contatou a Microsoft e a Brave, e nenhum dos dois fez um comentário imediato para esta postagem. Como observado acima, os pesquisadores disseram que a Brave introduziu uma contramedida que impede a técnica de ser eficaz, e outros fabricantes de navegadores disseram que estão trabalhando em consertos.

    Até que as correções estejam disponíveis, as pessoas que desejam se proteger devem investigar a eficácia de desabilitar o uso de favicons. As pesquisas aqui, aqui e aqui listam as etapas para Chrome, Safari e Edge, respectivamente.


    Artigos Recentes

    Cor da lâmpada Wyze: a única lâmpada inteligente barata que vale a pena por aí

    “É tão bom e barato que talvez você nunca mais volte para a Philips Hue.” Saída realmente brilhante As cores estão muito saturadas Não requer ponte Preço...

    Yield Guild Games permitirá que os jogadores ganhem dinheiro com jogos NFT

    Chegou a hora de ganhar dinheiro com jogos, de acordo com a Yield Guild Games, que arrecadou US...

    UFC PPV: Quanto custa na ESPN +?

    A nova temporada do UFC começou oficialmente com o UFC 259: Blachowicz vs. Adesanya - o terceiro grande evento pay-per-view de 2021 com...

    Artigos Relacionados

    DEIXE UMA RESPOSTA

    Por favor digite seu comentário!
    Por favor, digite seu nome aqui