Cuando Apple introdujo potentes protecciones anti-seguimiento en Safari en 2023, los anunciantes se unieron para decir que estaban «profundamente preocupados» de que sabotearía el contenido con publicidad. Ahora, hay nueva información que muestra que los usuarios de Safari también tenían buenas razones para sentirse incómodos.
Conocido como Prevención de seguimiento inteligente, el mecanismo utiliza el aprendizaje automático para clasificar qué sitios web pueden usar cookies de navegador o secuencias de comandos alojadas en dominios de terceros para rastrear a los usuarios. Las clasificaciones se basan en los patrones de navegación específicos de cada usuario final. Los sitios que los usuarios finales visitan intencionalmente pueden realizar un seguimiento entre sitios. Los sitios que los usuarios no visitan activamente (pero a los que se accede a través de secuencias de comandos de seguimiento) están restringidos, ya sea eliminando automáticamente las cookies que configuran o truncando los encabezados de referencia para incluir solo el dominio, en lugar de la URL completa.
Un artículo publicado el miércoles por investigadores de Google dijo que esta protección tuvo consecuencias no deseadas que representaron un riesgo para la privacidad de los usuarios finales. Debido a que la lista de sitios restringidos se basa en los patrones de navegación individuales de los usuarios, la prevención de seguimiento inteligente, comúnmente abreviada como ITP, introduce configuraciones en Safari que cualquier página de Internet puede modificar y detectar. El periódico dijo que los sitios web han podido usar esta capacidad para una serie de ataques, que incluyen:
- obtener una lista de los sitios visitados recientemente
- crear una huella digital persistente que sigue a un usuario en la Web
- filtrar resultados de búsqueda u otra información confidencial que muestra Safari
- forzar cualquier dominio en la lista de sitios que no tienen permitido usar scripts o cookies de terceros
Los investigadores de Google dijeron que Apple abordó «una serie de problemas» con el lanzamiento en diciembre de Safari 13.0.4 e iOS 13.3. Los investigadores no dieron más detalles.
Cierto seguimiento entre sitios está bien
No todo el seguimiento de terceros es invasivo. El uso de las credenciales de Google o Facebook para iniciar sesión en un sitio diferente a través de OAuth es un ejemplo de seguimiento entre sitios que muchas personas encuentran útil. El documento de Google brinda más detalles sobre cómo ITP decide qué sitios deben restringirse. Si bien el proceso es complicado, el umbral para que un sitio se incluyera en la lista ITP restringida era cuando Safari detectaba que otros tres dominios lo usaban para el seguimiento de terceros. La lista se almacena como dominios registrados. La lista solo se puede agregar, pero se borra cada vez que un usuario borra el historial de navegación de Safari.
El papel continúa:
Como resultado de la personalización de la lista ITP en función de los patrones de navegación individuales de cada usuario, Safari ha introducido un estado global en el navegador, que puede ser modificado y detectado por cada documento.
Cualquier sitio puede emitir solicitudes entre sitios, lo que aumenta la cantidad de acciones de ITP para un dominio arbitrario y lo obliga a agregarse a la lista de ITP del usuario. Al verificar los efectos secundarios de la activación de ITP para una solicitud HTTP entre sitios determinada, un sitio web puede determinar si su dominio está presente en la lista de ITP del usuario; puede repetir este proceso y revelar el estado ITP para cualquier dominio.
Es trivial para los atacantes determinar el estado ITP de cualquier dominio bajo su control. Los atacantes simplemente emiten solicitudes entre sitios desde otro dominio y verifican si el encabezado de referencia se ha truncado o si una cookie enviada previamente en un contexto propio está presente en la solicitud. Revelar el estado de los dominios fuera del control de los atacantes es solo un poco más difícil. Requiere el uso de un canal lateral que compare el comportamiento de las solicitudes afectadas por ITP con el comportamiento de aquellas que no se ven afectadas por ITP. El documento dice que Internet «abunda» en esos canales secundarios e identifica seis de ellos.
El documento continúa enumerando cinco ataques que son posibles gracias al ITP de Safari. Incluyen:
- revelando dominios en la lista ITP
- identificar sitios web visitados individuales
- creando una huella dactilar persistente a través de una técnica conocida como fijación ITP
- forzar un dominio en la lista ITP
- explotar la filtración de información a través de ataques de búsqueda entre sitios
Además del periódico del miércoles, hilos aquí y aquí proporcionar detalles técnicos adicionales.
manzana responde
En una publicación publicada el mes pasado, el ingeniero de Apple WebKit, John Wilander, enumeró los cambios que hizo su equipo después de que los investigadores de Google informaran sus hallazgos en privado. Algunos de los cambios incluyen:
- degradar todos los encabezados de referencia de solicitudes entre sitios solo al origen de la página
- bloquear todas las solicitudes de terceros para que no vean sus cookies, independientemente del estado de ITP del dominio de terceros
- hacer ajustes a la política de cookies original de Safari que restringe a terceros de configurar cookies a menos que ya hayan configurado cookies como propios
No está claro de inmediato cuántos de los cinco ataques desarrollados por los investigadores de Google ya no son posibles. Ni Apple ni Google respondieron a las solicitudes de comentarios para esta publicación. Los cambios parecen ser en su mayoría mitigaciones a corto plazo diseñadas para dificultar que los atacantes abusen de ITP. La moraleja parece ser que mientras el ITP de Safari continúe dependiendo de los patrones de navegación individuales de los usuarios, puede proporcionar más riesgo que protección. Se puede desactivar en la sección de privacidad de las preferencias de Safari.
