Os 'Favicons' do browser podem ser usados como 'supercookies' indeléveis para rastreá-lo online
Favicons são uma daquelas coisas que basicamente todos os sites usam, mas ninguém pensa neles. Quando tem 100 separadores abertos, o pequeno ícone no início de cada separador de navegador fornece um logotipo para a janela que abriu. O Twitter usa o passarinho azul, o Gmail é um ícone de correio vermelho, e a Wikipédia é o W em negrito. É uma abreviatura conveniente que nos permite ser claros sobre onde estamos navegando quando temos milhares de separadores abertos. No entanto, como aprendemos, estes ícones também podem ser uma vulnerabilidade de segurança que pode permitir que os websites rastreiem o seu movimento e evitem VPNs, estado de navegação incógnito ou outros métodos tradicionais para encobrir os seus movimentos online.
Este método revolucionário de rastreio chama-se Supercookie e é obra do estudante alemão e designer de software Jonas Strehle.
"A Supercookie usa favicons para atribuir um identificador único aos visitantes do site. Ao contrário dos métodos tradicionais de rastreio, este ID pode ser armazenado quase persistentemente e o utilizador não pode facilmente eliminá-lo", disse Strehle no seu Github. O método de rastreio funciona mesmo no modo incógnito do navegador e não é limpo quando esvazia a cache, fecha o navegador ou reinicia o sistema, utiliza uma VPN ou instala AdBlockers.
Strehle explica no seu Github que se interessou pela ideia de usar Favicons para rastrear os utilizadores depois de ler um trabalho de investigação sobre o assunto da Universidade de Illinois, em Chicago.
"A complexidade e a natureza rica em recursos dos navegadores modernos muitas vezes levam à implementação de funcionalidades aparentemente inócuas que os adversários podem facilmente abusar", explica o documento. "Neste artigo, apresentamos um novo mecanismo de rastreio que utiliza indevidamente uma característica simples mas ubíqua do navegador: favicons." Para ser claro, esta é uma prova de conceito e não algo que Strehle descobriu por si só. O programa de Strehle (que usa um favicon de um Cookie Monster) é apenas o desenvolvimento da prova de conceito descrito pelos investigadores da universidade.
O navegador deve tornar os Favicons facilmente acessíveis. Portanto, estão em cache numa base de dados local separada no sistema, chamada cache favicon (F-Cache). As entradas F-Cache incluem uma grande quantidade de dados sobre onde um utilizador esteve, tudo ao serviço de entregar um pequeno ícone na sua janela de navegação.
Quando um utilizador visita um website, o navegador verifica se um favicon é necessário procurando a origem da referência de link do ícone de atalho da página web solicitada. O navegador verifica inicialmente o cache F local para uma entrada que contenha o URL do site ativo. Se existir uma entrada favicon, o ícone será carregado a partir da cache e exibido. No entanto, se não houver entrada, por exemplo, porque um favicon nunca foi carregado neste domínio em particular, ou porque os dados na cache não estão atualizados, o navegador faz um pedido GET ao servidor para carregar o favicon a partir do site.
Estes dados permitem ao servidor web descobrir um pouco sobre o seu visitante. Ao combinar o estado de favicons entregues e não entregues para caminhos URL específicos do navegador, um padrão único (número de identificação) pode ser atribuído ao cliente. Quando o site é recarregado, o servidor web pode reconstruir o número de identificação com os pedidos de rede enviados pelo cliente para as favicons desaparecidas e assim identificar o navegador.
Strehle criou um site que demonstra como é fácil rastrear um utilizador online usando um favicon. Ele disse que é para fins de investigação, ele publicou o seu código fonte on-line e detalhou com uma longa explicação como os supercookies funcionam no seu site.
A parte mais assustadora da vulnerabilidade de Favicon é a facilidade com que ignora os métodos tradicionais que as pessoas usam para se manterem privadas online. De acordo com Strehle, o seu Supercookie salta o modo "privado" do Chrome, Safari, Edge e Firefox. Limpar o cache, navegar atrás de uma VPN ou usar um Ad-Blocker não impedirá que um favicon malicioso o rastreie.
Investigadores da Universidade de Illinois chegaram a conclusões semelhantes. "Descobrimos que combinar a nossa técnica de rastreio baseada em favicon com atributos de impressão digital imutável do navegador que não mudam ao longo do tempo permite que um site reconstrua um identificador de rastreio de 32 bits em 2 segundos", disseram. "Devido à gravidade do nosso ataque, propomos alterações no comportamento favi dos navegadores que podem impedir esta forma de rastreio, e divulgamos as nossas descobertas aos fornecedores de navegadores que estão atualmente a explorar as estratégias de mitigação apropriadas."
Fonte: VICE