Google rilascia regolarmente aggiornamenti per migliorare la sicurezza del browser Chrome, a volte includendo vulnerabilità critiche. Raramente, tuttavia, viene menzionata una falla che persiste fin dalle origini del browser… e che è rimasta aperta per tutto questo tempo. Eppure è proprio questa la falla che l’azienda sta correggendo con il suo ultimo aggiornamento, oltre ad altri miglioramenti.
Grave falla di sicurezza su Chrome mette a rischio la privacy
La falla mette a rischio la riservatezza della cronologia delle pagine web. Questo può portare rapidamente a una grave violazione della privacy, oltre a favorire le truffe online. Per il momento, hacker e altri soggetti possono ancora dirottare il sistema per spiare le nostre abitudini di navigazione.
Quando si fa clic su un link su Chrome, questo cambia colore. Poi rimane di un colore diverso su tutti i siti che lo visualizzano. Finché non si cancella la cache. Il sistema è stato originariamente progettato per migliorare l’esperienza dell’utente. Grazie ad esso, è possibile identificare visivamente le pagine già visitate, evitando così visite inutili.
In Chrome, questo comportamento è legato al selettore CSS :visited. Ma se viene applicato in modo globale, può diventare un potenziale rischio per la privacy. In pratica, spiega l’azienda, un sito dannoso può nascondere nel codice sorgente di una pagina web un lungo e variegato elenco di link ad altri siti.
Tutto ciò che deve fare è osservare il tag :visited con uno script. In questo modo si può individuare, per ogni visitatore, i link che cambiano colore durante il caricamento. Incrociando questi dati con altri, è possibile estrarre almeno una parte della cronologia di navigazione di un utente Internet e collegarla alla sua identità.
La falla consente agli hacker di indirizzare le loro campagne malevole
Il metodo può consentire agli hacker di determinare facilmente informazioni cruciali per indirizzare in modo più efficace i tentativi di truffa. Ad esempio, il nome della banca della vittima o le sue abitudini di acquisto online. È evidente che Google si è trascinata dietro questo problema, che persiste da 20 anni. Ma la messa in sicurezza del sistema rimaneva complessa, perché significava rivedere completamente il funzionamento di questo aspetto del browser.
A partire dalla versione 136, Chrome sta finalmente erigendo una barriera più impermeabile tra i siti visitati. La patch introduce un nuovo approccio, che l’azienda chiama Triple Key Partitioning. Prima di contrassegnare un link con il tag CSS :visited, il browser controllerà ora l’URL del link, il nome del dominio del sito su cui si trova il link e l’origine del frame su cui appare il link. In questo modo, ogni sito avrà la propria cronologia dei link visitati.
Google Chrome 136 arriverà nei prossimi giorni. Non è quindi necessario aggiornare il browser. Tuttavia, è consigliabile non rimandare non appena il browser visualizza una notifica che chiede di riavviare il software per installare un aggiornamento.
Ti potrebbe interessare
15 apr 2025