Van descobrir una vulnerabilitat que permet el seguiment d'usuari, fins i tot si fa servir Tor

Fa pocs dies FingerprintJS realitzo una publicació de bloc en la qual ens parla sobre una vulnerabilitat que va ser descoberta per ells i que aquesta permet als llocs web identificar de manera fiable els usuaris en diversos navegadors, dels quals només els descriptori són afectats.

S'esmenta que la vulnerabilitat utilitza informació sobre les aplicacions instal·lades a l'ordinador per assignar un identificador únic permanent el qual, fins i tot si l'usuari canvia de navegador, utilitza el mode incògnit o una VPN, aquesta sempre estarà present.

Atès que aquesta vulnerabilitat permet el seguiment de tercers en diferents navegadors, constitueix una violació de la privadesa i encara que Tor és un navegador que ofereix l'últim en protecció de la privadesa, aquest també es veu afectat.

Segons FingerprintJS, aquesta vulnerabilitat existeix des de fa més de 5 anys i se'n desconeix l'impacte real. La vulnerabilitat d'inundació d'esquemes permet a un hacker determinar les aplicacions instal·lades a l'ordinador de l'objectiu. De mitjana, el procés d'identificació pren uns segons i funciona als sistemes operatius Windows, Mac i Linux.

A la nostra investigació sobre tècniques antifrau, hem descobert una vulnerabilitat que permet als llocs web identificar els usuaris de manera fiable en diferents navegadors descriptori i vincular les seves identitats. Les versions d'escriptori de Tor Browser, Safari, Chrome i Firefox estan afectades.

Ens referirem a aquesta vulnerabilitat com a inundació d'esquemes, ja que utilitza esquemes d'URL personalitzats com a vector d'atac. La vulnerabilitat utilitza informació sobre les aplicacions instal·lades a l'ordinador per assignar-li un identificador únic permanent, fins i tot si canvieu de navegador, utilitzeu el mode d'incògnit o utilitzeu una VPN.

Per comprovar si una aplicació està instal·lada, els navegadors poden utilitzar administradors d'esquemes d'URL personalitzats integrats.

Un exemple bàsic d'això, és possible verificar, ja que només cal executar la següent acció ingressant skype://a la barra d'adreces del navegador. Amb això ens podem adonar limpacte real que pot tenir aquest problema. Aquesta funció també es coneix com a enllaços profunds i s'usa àmpliament en dispositius mòbils, però també està disponible a navegadors d'escriptori.

Depenent de les aplicacions instal·lades en un dispositiu, és possible que un lloc web identifiqui persones amb finalitats més malicioses. Per exemple, un lloc pot detectar un oficial o un militar a Internet basant-se en les aplicacions instal·lades i associant l'historial de navegació que es creu que és anònim. Repassem les diferències entre els navegadors.

Dels quatre principals navegadors afectats, només els desenvolupadors de Chrome semblen estar al corrent vulnerabilitat d'inundació d'esquemes. El problema s'ha discutit al rastrejador d'errors de Chromium i s'hauria de solucionar aviat.

A més, només el navegador Chrome té algun tipus de protecció contra inundacions d'esquemes, ja que evita que s'iniciï qualsevol aplicació tret que se sol·liciti mitjançant una acció de l'usuari, com un clic del ratolí. Hi ha una marca global que permet (o nega) que els llocs web obrin aplicacions, que sestableix en fals després de manipular un esquema dURL personalitzat.

D'altra banda al Firefox quan intenteu navegar a un esquema d'URL desconegut, Firefox mostra una pàgina interna amb un error. Aquesta pàgina interna té un origen diferent del de qualsevol altre lloc web, per la qual cosa no és possible accedir-hi a causa de la limitació de la política dorigen idèntic.

Pel que fa a Tor, la vulnerabilitat en aquest navegador, és la que més temps triga a executar-se amb èxit ja que pot prendre fins a 10 segons perquè cada aplicació es verifiqui a causa de les regles del navegador Tor. No obstant això, l'exploit es pot executar en segon pla i rastrejar el vostre objectiu durant una sessió de navegació més llarga.

Els passos exactes per aprofitar la vulnerabilitat d'inundació d'esquemes poden variar segons el navegador, però el resultat final és el mateix.

Finalment si estàs interessat en conèixer més a l'respecte, Pots consultar els detalls en el següent enllaç.


2 comentaris, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Algú a la XARXA va dir

    Obvi ús Linux, ia Firefox si va llançar un ID, així com a Vivaldi,però; a OPERA no va funcionar.

    És preocupant, i no sé si hi hagi alguna manera d'evitar-ho o d'anul·lar-ho.

  2.   César dels CUES va dir

    <<>
    Caldria veure, en diversos escenaris… que tal amb una distribució velleta nucli antic, navegador sense actualitzar i en una màquina virtual!