Poate că știi deja, favicon reprezintă un element pe care orice site web îl utilizează în prezent. Când ai 50 de tab-uri deschise, pictograma aia mică de la începutul fiecărei file de browser oferă o siglă/un logo pentru fereastra deschisă, ajutând la identificare. Twitter folosește pasărea albastră, Gmail un logo cu un plic stilizat, Wikipedia plasează W-ul lor consacrat. Chiar și noi – securitypatch.ro, avem ca favicon un patch albastru.
Potrivit lui Jonas Strehle, un cercetător german, favicon-urile pot reprezenta o breșă de securitate care ar putea permite site-urilor web să urmărească activitatea vizitatorilor, ocolind serviciile VPN, modul de navigare incognito precum și alte metode tradiționale de anonimizare online.
Supercookie – Browser fingerprinting via favicon
Metoda de urmărire (tracking) se numește Supercookie și reprezintă opera germanului Jonas Strehle. Acesta afirmă pe pagina de Github că „Supercookie folosește favicoane pentru atribuirea unui identificator unic vizitatorilor site-ului. Spre deosebire de metodele tradiționale de urmărire, acest ID poate fi stocat aproape persistent și nu poate fi șters cu ușurință de către utilizator. Metoda de urmărire funcționează chiar și în modul incognito al browser-ului și nu este îndepărtată prin ștergerea cache-ului, închiderea browserului sau repornirea sistemului de operare, utilizarea unui VPN sau AdBlockers.”
Jonas Strehle a explicat că a devenit interesat de ideea utilizării favicons pentru urmărirea vizitatorilor după ce a citit lucrare de cercetare “Tales of FAVICONS and Caches: Persistent Tracking in Modern Browsers” publicată la Universitatea Illinois din Chicago.
Pentru a exemplifica utilizarea favicon-urilor pentru tracking, cercetătorul german a dezvoltat platforma Browser-Fingerprinting via Favicon ce poate fi testată aici – https://supercookie.me/
Când un utilizator vizitează un site web, browserul verifică dacă este nevoie de un favicon, căutând în sursa paginii link-ul spre resursa grafică a paginii web solicitate.
Exemplu: <link rel=”icon” href=”/favicon.ico” type=”image/x-icon”>
Browserul verifică inițial cache-ul local pentru o intrare care conține adresa URL a site-ului web activ. Dacă există deja un favicon, pictograma va fi încărcată din cache și apoi afișată. Cu toate acestea, dacă nu există în cache, browserul va face face o cerere de tip GET către server pentru a încărca faviconul site-ului.
Astfel, acest demers permite unui server web să colecteze date despre vizitator, iar prin combinarea și procesarea datelor obținute se poate stabili dacă acel vizitator a mai utilizat site-ul anterior prin atribuirea unui ID unic de identificare și compararea cu request-urile realizate de la dresa IP. Am încercat să rezum pe scurt ce se întâmplă, dar scenariu este foarte bine documentat tehnic, iar cei curioși pot consulta materialul de aici – https://supercookie.me/workwise
Este totuși interesant cum o chestie atât de măruntă reușește să ocolească, cel puțin la nivel teoretic, metodele tradiționale utilizate pentru navigarea anonimă pe internet, făcând bypass modului “incognito” din browserele Chrome, Safari, Edge și Firefox.
“We find that combining our favicon-based tracking technique with immutable browser-fingerprinting attributes that do not change over time allows a website to reconstruct a 32-bit tracking identifier in 2 seconds.”
“Due to the severity of our attack we propose changes to browsers’ favicon caching behavior that can prevent this form of tracking, and have disclosed our findings to browser vendors who are currently exploring appropriate mitigation strategies.”
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.