Le favicon possono essere usate come supercookie

Le favicon possono essere usate come supercookie

Le comuni favicon usate per identificare i siti web possono essere sfruttate come supercookie per tracciare la navigazione degli utenti.
Le favicon possono essere usate come supercookie
Le comuni favicon usate per identificare i siti web possono essere sfruttate come supercookie per tracciare la navigazione degli utenti.

Le favicon (favorite icon) sono le piccole immagini che ogni browser visualizza nei segnalibri e sulle schede aperte per consentire l’identificazione del sito corrispondente (solitamente è un logo). Un ricercatore di sicurezza ha scoperto che queste icone possono essere sfruttate per tracciare l’utente durante la navigazione. La tecnica usata dall’autore è denominata Supercookie.

Grande vulnerabilità in piccole immagini

Le favicon sono piccole immagini .ico (solitamente 16×16 o 32×32 pixel) che vengono caricate dal server che ospita il sito mediante un attributo inserito nell’header della pagina web. Le favicon devono essere facilmente accessibili dal browser, quindi sono conservate in una F-Cache che include URL, ID della favicon e il tempo di vita.

Quando un utente visita un sito web, il browser carica la favicon dalla F-Cache locale. Se non esiste, il browser effettua una richiesta al server, per ognuna delle quali è possibile assegnare un identificatore unico che permette di tracciare il browser e quindi l’utente. La vulnerabilità è presente in tutti i principali browser.

Il problema è che questo “supercookie” è persistente e non può essere cancellato facilmente dall’utente. Il metodo di tracciamento funziona anche se viene utilizzata la navigazione privata (anonima o incognito) e se è attiva la funzionalità di blocco del fingerprinting. Non serve nemmeno installare un ad-blocker o una VPN.

L’unico modo per evitare il tracciamento è modificare il funzionamento della F-Cache. Il ricercatore ha pubblicato su GitHub il codice sorgente della tecnica di tracciamento. Una demo mostra come viene generato l’identificatore univoco del browser.

Fonte: GitHub
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 11 feb 2021
Link copiato negli appunti