Una ricerca mette in evidenza i rischi tesi nei confronti della privacy da parte della personalizzazione dei servizi offerti dai browser e dalla ricerca online: gli studiosi sono riusciti ad accedere ai suggerimenti di ricerca personalizzati offerti da Google e ad altri dati da cui sono partiti per ricostruire la cronologia delle ricerche di un utente. E ottenere molte informazioni sul suo conto.
Per raggranellare i dati hanno sfruttato una falla nel sistema di cifratura di Google: utilizza due differenti protocolli per comunicare con i browser degli utenti, uno protetto per dati sensibili e password ( https ), l’altro – quello utilizzato anche per le ricerche – è invece l’ordinario http che veicola le informazioni in chiaro.
Il problema è che in chiaro verrebbero inviati anche i dati di accesso e di autenticazione dell’utente di alcuni servizi come Web History (attraverso cui un netizen può accedere all’intera cronologia delle sue ricerche effettuate nel momento abbia avuto accesso al proprio account Google) e la stessa homepage di ricerca.
I ricercatori hanno dunque avuto accesso ai tracciati di navigazione degli utenti utilizzando semplicemente il servizio Cronologia Web, in cui anche i cookie sono inviati in chiaro, oppure intercettando i cookie di autenticazione inviati nell’accedere al proprio Google account nella pagina di ricerca e impersonando l’utente nell’effettuare alcune ricerche in modo da dedurre quelle effettuate in passato attraverso l’analisi dei suggerimenti che gli vengono offerti dal motore di ricerca. Metodi simili erano già stati utilizzati da EFF per dimostrare l’emergere di possibili minacce alla privacy dei netizen.
Anche se Google afferma di aver corretto i bug che permettevano l’attacco , i ricercatori affermano che vi sarebbero altre vulnerabilità simili. Sussistono, per esempio, le medesime falle nella versione mobile del servizio di ricerca: i ricercatori continuano così a monitorare i servizi Google.
“Scopo del progetto era mostrare che i servizi di personalizzazione sono molto pericolosi per la privacy” ha detto Claude Castelluccia, uno dei ricercatori protagonisti dello studio.
Il lavoro sarà presentato quest’estate al Privacy Enhancing Technologies Symposium di Berlino.
Claudio Tamburrino