Le favicon (favorite icon) sono le piccole immagini che ogni browser visualizza nei segnalibri e sulle schede aperte per consentire l’identificazione del sito corrispondente (solitamente è un logo). Un ricercatore di sicurezza ha scoperto che queste icone possono essere sfruttate per tracciare l’utente durante la navigazione. La tecnica usata dall’autore è denominata Supercookie.
Grande vulnerabilità in piccole immagini
Le favicon sono piccole immagini .ico (solitamente 16×16 o 32×32 pixel) che vengono caricate dal server che ospita il sito mediante un attributo inserito nell’header della pagina web. Le favicon devono essere facilmente accessibili dal browser, quindi sono conservate in una F-Cache che include URL, ID della favicon e il tempo di vita.
Quando un utente visita un sito web, il browser carica la favicon dalla F-Cache locale. Se non esiste, il browser effettua una richiesta al server, per ognuna delle quali è possibile assegnare un identificatore unico che permette di tracciare il browser e quindi l’utente. La vulnerabilità è presente in tutti i principali browser.
Il problema è che questo “supercookie” è persistente e non può essere cancellato facilmente dall’utente. Il metodo di tracciamento funziona anche se viene utilizzata la navigazione privata (anonima o incognito) e se è attiva la funzionalità di blocco del fingerprinting. Non serve nemmeno installare un ad-blocker o una VPN.
L’unico modo per evitare il tracciamento è modificare il funzionamento della F-Cache. Il ricercatore ha pubblicato su GitHub il codice sorgente della tecnica di tracciamento. Una demo mostra come viene generato l’identificatore univoco del browser.
Ti potrebbe interessare
11 feb 2021