Le favicon possono essere utilizzate per tracciare gli utenti
I ricercatori di sicurezza dell’Università dell’Illinois a Chicago hanno scoperto un nuovo metodo per tenere traccia degli utenti Internet che è persistente tra le sessioni, anche se gli utenti cancellano i cookie e la cache di navigazione.
Il documento di ricerca Tales of FAVICONS and Caches: Persistent Tracking in Modern Browsers evidenzia che le favicon possono essere utilizzate insieme alle tecniche di fingerprinting per tracciare gli utenti.
Le favicon vengono utilizzate dal sito per visualizzare una piccola icona del sito, ad esempio nella barra degli indirizzi dei browser che lo supportano, ma anche altrove, ad esempio nei segnalibri o nelle schede. Le favicon vengono memorizzate nella cache dal browser, ma vengono memorizzate indipendentemente da altri elementi memorizzati nella cache come file HTML o immagini del sito.
Gli utenti che utilizzano la funzionalità integrata per svuotare la cache vedranno questi file memorizzati nella cache rimossi dalla memoria ma non le favicon. In altre parole: le favicon persistono durante le sessioni di navigazione anche se l’utente svuota la cache e sono accessibili anche nella navigazione privata o nelle sessioni in modalità di navigazione in incognito.
I browser rilevano e memorizzano nella cache le favicon dei siti automaticamente ei siti possono utilizzare una singola riga di codice per specificare la loro favicon.
Una singola favicon non è sufficiente per identificare gli utenti in base ad essa, ma i ricercatori hanno scoperto un modo per piantare più favicon nella cache delle favicon. Il sito esegue una serie di reindirizzamenti attraverso diversi sottodomini per salvare più favicon differenti nella cache. Ogni favicon salvata crea la propria voce nella cache e tutte insieme possono essere utilizzate per identificare gli utenti a condizione che vengano salvate sufficienti favicon utilizzando la metodologia.
I reindirizzamenti avvengono senza alcuna interazione da parte dell’utente poiché tutto è controllato dal sito in questione.
I ricercatori hanno testato l’attacco contro i browser basati su Chromium Google Chrome, Brave, Safari e Microsoft Edge e li hanno trovati tutti vulnerabili all’attacco. Hanno provato l’attacco su Firefox ma hanno trovato un bug che impediva al browser di leggere le voci favicon memorizzate nella cache. Una volta risolto, anche Firefox sarebbe probabilmente vulnerabile all’attacco.
L’attacco richiede un po ‘di tempo secondo il documento di ricerca, ma dovrebbe essere possibile migliorare le prestazioni con le ottimizzazioni.
Troviamo che combinare la nostra tecnica di tracciamento basata su favicon con attributi di fingerprinting del browser immutabili che non cambiano nel tempo consente a un sito web di ricostruire un identificatore di tracciamento a 32 bit in 2 secondi.
I ricercatori suggeriscono diverse opzioni di mitigazione e contromisura, che richiedono che i produttori di browser modifichino le funzionalità relative a favicon.
Ora tu: qual è la tua opinione su questo nuovo metodo di monitoraggio?