Różności i nowinki technologia

Nowy hack do śledzenia przeglądarki działa nawet po opróżnieniu pamięci podręcznej lub przejściu w tryb incognito

Nowy hack do śledzenia przeglądarki działa nawet po opróżnieniu pamięci podręcznej lub przejściu w tryb incognito

Getty Images

Perspektywa śledzenia użytkowników sieci przez witryny, które odwiedzają, skłoniła na przestrzeni lat do podjęcia szeregu środków zaradczych, w tym użycia Privacy Badger lub alternatywnego rozszerzenia do ochrony przed śledzeniem, umożliwienia sesji przeglądania w trybie prywatnym lub incognito lub usunięcia plików cookie. Teraz strony internetowe mają nowy sposób na pokonanie wszystkich trzech.

Technika ta wykorzystuje favicony, małe ikony, które strony internetowe wyświetlają na kartach przeglądarki użytkowników i listach zakładek. Naukowcy z University of Chicago powiedzieli w nowym artykule, że większość przeglądarek buforuje obrazy w miejscu innym niż te używane do przechowywania danych witryn, historii przeglądania i plików cookie. Strony internetowe mogą nadużywać tego rozwiązania, ładując serię ikon ulubionych w przeglądarkach odwiedzających, które jednoznacznie identyfikują ich przez dłuższy czas.

Potężny wektor śledzenia

„Ogólnie rzecz biorąc, chociaż favicony od dawna uważane są za prosty element dekoracyjny obsługiwany przez przeglądarki w celu ułatwienia znakowania witryn internetowych, nasze badania pokazują, że wprowadzają one potężny wektor śledzenia, który stanowi poważne zagrożenie prywatności dla użytkowników” – napisali naukowcy. Kontynuowali:

Przepływ pracy ataku może być łatwo zaimplementowany przez dowolną witrynę internetową, bez potrzeby interakcji lub zgody użytkownika, i działa nawet po wdrożeniu popularnych rozszerzeń przeciwdziałających śledzeniu. Co gorsza, charakterystyczne zachowanie buforowania współczesnych przeglądarek nadaje naszemu atakowi szczególnie rażącą właściwość, ponieważ zasoby w pamięci podręcznej favicon są używane nawet podczas przeglądania w trybie incognito z powodu niewłaściwych praktyk izolacji we wszystkich głównych przeglądarkach.

Atak działa na Chrome, Safari, Edge i do niedawna Brave, który opracował skuteczny środek zaradczy po otrzymaniu prywatnego raportu od badaczy. Firefox również byłby podatny na tę technikę, ale błąd uniemożliwia w tej chwili działanie ataku.

Ikony Favicons zapewniają użytkownikom małą ikonę, która może być unikalna dla każdej domeny lub subdomeny w Internecie. Witryny używają ich, aby pomóc użytkownikom łatwiej zidentyfikować strony, które są aktualnie otwarte na kartach przeglądarki lub są przechowywane na listach zakładek.

Przeglądarki zapisują ikony w pamięci podręcznej, aby nie musiały ich ciągle żądać. Ta pamięć podręczna nie jest opróżniana, gdy użytkownicy wyczyszczą pamięć podręczną przeglądarki lub pliki cookie albo gdy przejdą do trybu przeglądania prywatnego. Witryny internetowe mogą wykorzystywać to zachowanie, przechowując określoną kombinację ikon ulubionych, gdy użytkownicy po raz pierwszy je odwiedzają, a następnie sprawdzając te obrazy, gdy użytkownicy ponownie odwiedzają witrynę, umożliwiając w ten sposób witrynie zidentyfikowanie przeglądarki, nawet jeśli użytkownicy podjęli aktywne środki, aby zapobiec śledzeniu.

Śledzenie przeglądarki było problemem od czasu pojawienia się sieci World Wide Web w latach 90. Gdy usuwanie plików cookie przeglądarki stało się łatwe, witryny internetowe opracowały inne sposoby identyfikacji przeglądarek odwiedzających.

Jedna z tych metod jest znana jako odciski palców urządzeń, proces, który gromadzi rozmiar ekranu, listę dostępnych czcionek, wersje oprogramowania i inne właściwości komputera odwiedzającego, aby utworzyć profil, który często jest unikalny dla tego komputera. Badanie z 2013 roku wykazało, że 1,5% najpopularniejszych witryn na świecie stosowało tę technikę. Odcisk palca urządzenia może działać nawet wtedy, gdy ludzie używają wielu przeglądarek. W odpowiedzi niektóre przeglądarki próbowały ograniczyć śledzenie, blokując skrypty pobierające odciski palców.

Wystarczy dwie sekundy

Witryny internetowe mogą wykorzystywać nowy kanał boczny favicon, wysyłając odwiedzających przez szereg subdomen – każda z własną ikoną ulubionych – przed dostarczeniem ich na żądaną stronę. Liczba wymaganych przekierowań różni się w zależności od liczby unikalnych użytkowników witryny. Aby móc śledzić 4,5 miliarda unikalnych przeglądarek, witryna wymagałaby 32 przekierowań, ponieważ każde przekierowanie przekłada się na 1 bit entropii. To wydłużyłoby około 2 sekund do czasu załadowania ostatniej strony. Dzięki poprawkom strony internetowe mogą skrócić opóźnienia.

Artykuł wyjaśnia to w ten sposób:

Wykorzystując wszystkie te właściwości, demonstrujemy nowatorski, trwały mechanizm śledzenia, który umożliwia witrynom ponownie identyfikację użytkowników podczas wizyt, nawet jeśli są w trybie incognito lub wyczyszczono dane przeglądarki po stronie klienta. W szczególności strony internetowe mogą tworzyć i przechowywać unikalny identyfikator przeglądarki poprzez unikalną kombinację wpisów w pamięci podręcznej favicon. Mówiąc dokładniej, śledzenie to może być łatwo przeprowadzone przez dowolną witrynę internetową, odpowiednio przekierowując użytkownika przez szereg subdomen. Te subdomeny obsługują różne ikony ulubionych, a tym samym tworzą własne wpisy w Favicon-Cache. W związku z tym zestaw N-subdomen może być użyty do utworzenia N-bitowego identyfikatora, który jest unikalny dla każdej przeglądarki. Ponieważ osoba atakująca kontroluje witrynę, może zmusić przeglądarkę do odwiedzenia poddomen bez żadnej interakcji z użytkownikiem. W istocie obecność favicon dla subdomeny w pamięci podręcznej odpowiada wartości 1 dla i-tego bitu identyfikatora, podczas gdy brak oznacza wartość 0.

Badacze stojący za odkryciami to: Konstantinos Solomos, John Kristoff, Chris Kanich i Jason Polakis, wszyscy z University of Chicago. Swoje badania zaprezentują w przyszłym tygodniu na sympozjum NDSS.

Rzecznik Google powiedział, że firma jest świadoma badań i pracuje nad rozwiązaniem. Tymczasem przedstawiciel Apple powiedział, że firma analizuje wyniki. Ars skontaktował się również z Microsoft i Brave i żadne z nich nie od razu skomentowało ten post. Jak wspomniano powyżej, naukowcy powiedzieli, że Brave wprowadził środek zaradczy, który uniemożliwia skuteczność tej techniki, a inni twórcy przeglądarek powiedzieli, że pracują nad poprawkami.

Dopóki poprawki nie będą dostępne, osoby, które chcą się chronić, powinny zbadać skuteczność wyłączenia korzystania z faviconów. Przeszukuje tutaj, tutaj i tutaj wyświetla listę kroków odpowiednio dla Chrome, Safari i Edge.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook