TECHNOLOGIA · CYBERBEZPIECZEŃSTWO · BIZNES

Favicony mogą być „superciasteczkami” nawet przy trybie incognito

Favicony są niewielkimi ikonkami na paskach stron. Mają one pomagać w nawigacji między otwartymi kartami. Badacze z University of Illinois w Chicago stwierdzili, że można je wykorzystywać by omijając tryb incognito czy VPN zbierać informacje o użytkownikach.

Favicony są przydatne, gdyż te małe obrazki łatwiej zauważyć niż całe linijki z adresem stron, dzięki czemu szybciej klikamy w interesującą nas kartę. Jednak teraz okazuje się, że pozwalają zbierać informacje o użytkownikach i nie chroni przed tym nawet czyszczenie pamięci podręcznej.

Do takich wniosków doszli badacze z Chicago po wykonaniu analizy. Chociaż w swoim artykule wskazują tylko potencjalne działanie mechanizmu śledzących bez dowodów na jego istnienie.

Jednak użytkownik GitHuba –  Jonas Strehle na podstawie pracy naukowej i artykułu zamieszczonego w sieci sprawdził skuteczność metody. Dla łatwego dostępu faviconów w przeglądarce są one przechowywane w oddzielnej bazie danych w systemie. To pamięć podręczna faviocon (F-Cache). I to właśnie te foldery zawierają dane o tym, na jakich stronach znajdował się użytkownik. Ma to na celu szybsze ładowanie ikon, ale może być wykorzystywane do śledzenia danych.

Jeśli po odwiedzeniu strony favicon nie zostanie załadowany w konkretnej domenie lub dane pamięci podręcznej są nieaktualne, przeglądarka wyśle specjalne żądanie GET do serwera. A serwer odbiorczy otrzyma dane o użytkowniku. Stehle twierdzi, że w tej metodzie można przypisać użytkownikowi indywidualny numer identyfikacyjny dokładnie tak, jak przy śledzących ciasteczkach.

“Po ponownym załadowaniu strony internetowej serwer sieciowy może odtworzyć numer identyfikacyjny na podstawie żądań sieciowych wysyłanych przez klienta dla brakujących ikon ulubionych, a tym samym zidentyfikować przeglądarkę” – pisze Strehle.

Założył on nawet specjalną witrynę internetową pozwalającą sprawdzać działanie śledzenia metodą faviconów.

To pozwala uznać favicony za lukę w systemie zabezpieczeń. Omijają one bowiem wszelkie metody zachowywania prywatności. Dla „superciasteczek” przeszkodą nie są prywatne tryby w przeglądarkach Chrome, Edge, Firefox i Safari czy czyszczenie pamięci podręcznej. Nie pomaga także korzystanie z VPN lub innych narzędzi blokujących ciasteczka.

Źródło: www.dobreprogramy.pl

Klaudia Wojciechowska
Klaudia Wojciechowska
Redaktorka ISPortal i ISProfessional. Dziennikarka telewizji lokalnego operatora telekomunikacyjnego Ret-Sat1. Absolwentka kulturoznawstwa na Uniwersytecie Łódzkim ze specjalizacją filmoznawstwo i nowe media.

przeczytaj najnowszy numer isporfessional

Najnowsze