imágenes falsas
La posibilidad de que los usuarios web sean rastreados por los sitios que visitan ha provocado varias contramedidas a lo largo de los años, incluido el uso de Privacy Badger o una extensión alternativa contra el seguimiento, la habilitación de sesiones de navegación privadas o de incógnito o la eliminación de cookies. Ahora, los sitios web tienen una nueva forma de derrotar a los tres.
La técnica aprovecha el uso de favicons, los pequeños iconos que los sitios web muestran en las pestañas del navegador de los usuarios y en las listas de favoritos. Investigadores de la Universidad de Illinois, Chicago, dijeron en un nuevo artículo que la mayoría de los navegadores almacenan las imágenes en una ubicación separada de las que se usan para almacenar datos del sitio, historial de navegación y cookies. Los sitios web pueden abusar de este arreglo al cargar una serie de favicons en los navegadores de los visitantes que los identifican de manera única durante un período prolongado de tiempo.
Potente vector de seguimiento
“En general, si bien los favicons se han considerado durante mucho tiempo un simple recurso decorativo compatible con los navegadores para facilitar la marca de los sitios web, nuestra investigación demuestra que introducen un poderoso vector de seguimiento que representa una amenaza significativa para la privacidad de los usuarios”, escribieron los investigadores. Continuaron:
Cualquier sitio web puede implementar fácilmente el flujo de trabajo de ataque, sin necesidad de interacción o consentimiento del usuario, y funciona incluso cuando se implementan extensiones anti-seguimiento populares. Para empeorar las cosas, el comportamiento de almacenamiento en caché idiosincrásico de los navegadores modernos otorga una propiedad particularmente atroz a nuestro ataque, ya que los recursos en el caché de favicon se utilizan incluso cuando se navega en modo de incógnito debido a prácticas de aislamiento inadecuadas en todos los navegadores principales.
El ataque funciona contra Chrome, Safari, Edge y, hasta hace poco, Brave, que desarrolló una contramedida eficaz después de recibir un informe privado de los investigadores. Firefox también sería susceptible a la técnica, pero un error impide que el ataque funcione en este momento.
Los Favicons brindan a los usuarios un pequeño ícono que puede ser único para cada dominio o subdominio en Internet. Los sitios web los utilizan para ayudar a los usuarios a identificar más fácilmente las páginas que están actualmente abiertas en las pestañas del navegador o que están almacenadas en listas de marcadores.
![Presunta criptoempresa de "aceite de serpiente" demanda por abucheos a Black Hat [Updated]](https://marketingdecontenido.top/wp-content/uploads/2022/09/1662003579_Presunta-criptoempresa-de-aceite-de-serpiente-demanda-por-abucheos-a-220x150.jpg "Presunta criptoempresa de \"aceite de serpiente\" demanda por abucheos a Black Hat [Updated] 7")
Los navegadores guardan los íconos en un caché para que no tengan que solicitarlos una y otra vez. Este caché no se vacía cuando los usuarios borran el caché o las cookies de su navegador, o cuando cambian a un modo de navegación privado. Un sitio web puede explotar este comportamiento almacenando una combinación específica de favicons cuando los usuarios lo visitan por primera vez y luego verificando esas imágenes cuando los usuarios vuelven a visitar el sitio, lo que permite que el sitio web identifique el navegador incluso cuando los usuarios han tomado medidas activas para evitar el seguimiento.
El seguimiento del navegador ha sido una preocupación desde la llegada de la World Wide Web en la década de 1990. Una vez que fue fácil para los usuarios borrar las cookies del navegador, los sitios web idearon otras formas de identificar los navegadores de los visitantes.
Uno de esos métodos se conoce como huella digital del dispositivo, un proceso que recopila el tamaño de la pantalla, la lista de fuentes disponibles, las versiones de software y otras propiedades de la computadora del visitante para crear un perfil que a menudo es exclusivo de esa máquina. Un estudio de 2013 encontró que el 1,5 por ciento de los sitios más populares del mundo empleaban la técnica. La toma de huellas dactilares del dispositivo puede funcionar incluso cuando las personas usan varios navegadores. En respuesta, algunos navegadores han intentado frenar el seguimiento bloqueando los scripts de huellas dactilares.
Dos segundos es todo lo que se necesita
Los sitios web pueden explotar el nuevo canal lateral de favicon enviando a los visitantes a través de una serie de subdominios, cada uno con su propio favicon, antes de enviarlos a la página que solicitaron. La cantidad de redirecciones requeridas varía según la cantidad de visitantes únicos que tenga un sitio. Para poder rastrear 4500 millones de navegadores únicos, un sitio web necesitaría 32 redirecciones, ya que cada redirección se traduce en 1 bit de entropía. Eso agregaría alrededor de 2 segundos al tiempo que tarda en cargarse la página final. Con ajustes, los sitios web pueden reducir la demora.
El documento lo explica de esta manera:
Al aprovechar todas estas propiedades, demostramos un mecanismo de seguimiento persistente novedoso que permite que los sitios web vuelvan a identificar a los usuarios en las visitas, incluso si están en modo de incógnito o si han borrado los datos del navegador del lado del cliente. Específicamente, los sitios web pueden crear y almacenar un identificador de navegador único a través de una combinación única de entradas en el caché de favicon. Para ser más precisos, cualquier sitio web puede realizar fácilmente este seguimiento redirigiendo al usuario a través de una serie de subdominios. Estos subdominios sirven diferentes favicons y, por lo tanto, crean sus propias entradas en Favicon-Cache. En consecuencia, se puede utilizar un conjunto de N subdominios para crear un identificador de N bits, que es único para cada navegador. Dado que el atacante controla el sitio web, puede obligar al navegador a visitar subdominios sin ninguna interacción del usuario. En esencia, la presencia del favicon para el subdominio en el caché corresponde a un valor de 1 para el i-ésimo bit del identificador, mientras que la ausencia denota un valor de 0.
Los investigadores detrás de los hallazgos son: Konstantinos Solomos, John Kristoff, Chris Kanich y Jason Polakis, todos de la Universidad de Illinois, Chicago. Presentarán su investigación la próxima semana en el Simposio NDSS.
Un portavoz de Google dijo que la compañía está al tanto de la investigación y está trabajando en una solución. Mientras tanto, un representante de Apple dijo que la compañía está investigando los hallazgos. Ars también contactó a Microsoft y Brave, y ninguno de los dos hizo un comentario inmediato para esta publicación. Como se señaló anteriormente, los investigadores dijeron que Brave introdujo una contramedida que evita que la técnica sea efectiva, y otros fabricantes de navegadores dijeron que estaban trabajando en soluciones.
Hasta que haya soluciones disponibles, las personas que quieran protegerse deben investigar la efectividad de deshabilitar el uso de favicons. Las búsquedas aquí, aquí y aquí enumeran los pasos para Chrome, Safari y Edge, respectivamente.
