Descubriron unha vulnerabilidade que permite o seguimento do usuario, aínda que use Tor

Hai poucos días FingerprintJS fixo unha publicación blogue no que fálanos dunha vulnerabilidade descuberta para eles e que é permite aos sitios web identificar de forma fiable aos usuarios en varios navegadores, dos cales só están afectados os navegadores de escritorio.

Menciónase que a vulnerabilidade usa información sobre as aplicacións instaladas no ordenador para asignar un identificador único permanente que, aínda que o usuario cambie de navegador, use o modo de incógnito ou unha VPN, sempre estará presente.

Dado que esta vulnerabilidade permite o seguimento de terceiros en diferentes navegadores, constitúe unha violación da privacidade e, aínda que Tor é un navegador que ofrece o último en protección de privacidade, tamén se ve afectado.

Segundo FingerprintJS, Esta vulnerabilidade existe desde hai máis de 5 anos e descoñécese o seu impacto real. A vulnerabilidade por inundación do esquema permite a un hacker determinar as aplicacións instaladas no ordenador do destino. De media, o proceso de identificación leva uns segundos e funciona en sistemas operativos Windows, Mac e Linux.

Na nosa investigación sobre técnicas antifraude, descubrimos unha vulnerabilidade que permite aos sitios web identificar de forma fiable aos usuarios en diferentes navegadores de escritorio e vincular as súas identidades. As versións de escritorio de Tor Browser, Safari, Chrome e Firefox están afectadas.

Referirémonos a esta vulnerabilidade como Schema Flood, xa que utiliza esquemas URL personalizados como vector de ataque. A vulnerabilidade utiliza información sobre as aplicacións instaladas no seu computador para asignarlle un identificador único permanente, aínda que cambie de navegador, use o modo de incógnito ou use unha VPN.

Para comprobar se está instalada unha aplicación, os navegadores poden empregar xestores de esquemas URL personalizados incorporados.

Un exemplo básico disto é posible verificalo, xa que é suficiente con executar a seguinte acción introducindo skype: // na barra de enderezos do navegador. Con isto podemos darnos conta do impacto real que pode ter este problema. Esta característica tamén se coñece como ligazón profunda e úsase amplamente en dispositivos móbiles, pero tamén está dispoñible nos navegadores de escritorio.

Dependendo das aplicacións instaladas nun dispositivo, é posible que un sitio web identifique ás persoas con fins máis maliciosos. Por exemplo, un sitio pode detectar un oficial ou militar en Internet baseado en aplicacións instaladas e asociando o historial de navegación que se cre anónimo. Repasemos as diferenzas entre navegadores.

Dos catro navegadores principais afectados, só os desenvolvedores de Chrome parecen estar ao tanto de vulnerabilidade por inundacións de esquemas. O problema foi discutido no rastreador de erros de Chromium e debería solucionarse en breve.

Ademais, só o navegador Chrome ten algún tipo de esquema de protección contra inundacións, xa que impide que se inicie calquera aplicación a menos que unha acción do usuario o solicite como un clic do rato. Existe unha marca global que permite (ou rexeita) que os sitios web abran aplicacións, que se define como falso despois de manipular un esquema de URL personalizado.

Por outra banda en Firefox ao tentar navegar a un esquema de URL descoñecido, Firefox mostra unha páxina interna cun erro. Esta páxina interna ten unha orixe diferente a calquera outro sitio web, polo que non é posible acceder a ela debido á limitación da idéntica política de orixe.

En canto a Tor, a vulnerabilidade neste navegador, é o que máis tempo tarda en executarse con éxito xa que pode tardar ata 10 segundos en verificarse por cada aplicación debido ás regras do navegador Tor. Non obstante, o exploit pode executarse en segundo plano e rastrexar o seu destino durante unha sesión de navegación máis longa.

Os pasos exactos para explotar a vulnerabilidade da inundación do esquema poden variar segundo o navegador, pero o resultado final é o mesmo.

Finalmente se estás interesado en saber máis sobre el, podes consultar os detalles Na seguinte ligazón.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

2 comentarios, deixa os teus

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

  1.   Alguén na rede dixo

    Obviamente eu uso Linux, e en Firefox mostrou un ID, así como en Vivaldi, pero; en OPERA non funcionou.

    É preocupante e non sei se hai algunha forma de evitalo ou de anulalo.

  2.   Cesar dos RABOS dixo

    <<>
    Habería que ver, en diversos escenarios ... que tal unha vella distribución de núcleo antiga, un navegador sen actualizar e nunha máquina virtual!