Evercookie: un biscottino è per sempre

Per chi ritenga che i Flash Cookie non siano abbastanza resistenti, lo sviluppatore Samy Kamkar ha realizzato una API chiamata evercookie . Le funzionalità del codice JavaScript tengono fede al nome e prevedono la generazione di un “super-cookie” in grado di popolare un gran numero di spazi di storage temporaneo locale , e di ricreare se stesso ripopolando tutti i suddetti spazi partendo da una singola particella di codice tracciante.

In particolare il cookie super-resistente di evercookie usa una decina di meccanismi di storage diversi riconducibili al browser web inclusi i tradizionali cookie HTTP, i Local Shared Object di Adobe Flash (meglio noti come “Flash cookie”), i valori RGB nei file grafici PNG salvati nella cache, la cronologia di navigazione, gli eTag HTTP, lo spazio di storage userData di Internet Explorer, i vari spazi di storage previsti dallo standard HTML5 (Session Storage, Local Storage, Global Storage, Database Storage tramite SQLite).

L’utente più evoluto potrà anche cancellare una buona parte di questi dati temporanei, ma se anche ne restasse uno soltanto il super-cookie ripopolerebbe immediatamente tutti gli spazi di storage continuando a tracciare , impunemente e senza alcuna via di scampo, le abitudini di navigazione online del netizen.

Kamkar – già noto per aver creato un worm per MySpace nel 2005 – dice di aver realizzato la API di evercookie nel tempo di 24 ore, con l’intento specifico di “spaventare” e rendere chiara l’attuale, desolante situazione in merito alla riservatezza della navigazione online e la gestione della privacy da parte di molti dei più usati browser web. “Evercookie ha richiesto meno di un giorno a un hobbista della sicurezza come il sottoscritto – dice Kamkar – quindi si può immaginare il livello raggiungibile dalla tecnologia realizzata da sviluppatori pagati per questo specifico obiettivo”.

Per quanto riguarda l’impatto di evercookie da parte dei browser web più noti, i primi test identificano Google Chrome come l’unico in grado di fornire la possibilità di cancellare tutti i pezzetti di informazione tracciante salvati in locale. Pollice all’insù anche per a modalità di navigazione anonima di Safari e quella del suddetto Chrome, strumenti parzialmente “anonimizzanti” in grado di prevenire l’installazione del super-cookie di Kamkar.

Lo sviluppatore intendeva far crescere la consapevolezza dei pericoli del tracciamento telematico, ma più i super-cookie si fanno strada tra le politiche aziendali di corporation senza scrupoli e più cresce la reazione legale nei confronti delle suddette aziende. In fondo basta la proliferazione dei “semplici” cookie da Flash per generare un contraccolpo legale con tanto di utenti imbufaliti e class action nei tribunali a stelle e strisce.

Alfonso Maruccia