Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il fingerprinting dei browser, consente ai siti di identificare gli utenti anche senza cookie. Questa tecnica sfrutta decine di parametri tecnici. Secondo il ricercatore di sicurezza Alexander Hanff, Chrome non offre protezioni efficaci contro queste tecniche, le quali sono già diffuse su larga scala. Il problema inoltre, viene aggravato dal fatto che vengono utilizzati questi dati anche da agenzie governative.
Chrome è da tempo pubblicizzato come un browser sicuro, ma Google sembra avere seri problemi nella protezione contro il tracciamento nascosto. Il consulente sulla privacy Alexander Hanff afferma che Chrome fa ben poco per impedire ai siti web di raccogliere l’impronta digitale di un dispositivo e trasformare una raccolta di dettagli tecnici in un pratico strumento per tracciare una persona online.
Hanff scrive in una sua analisi, che almeno 30 diverse tecniche di fingerprinting del browser sono attualmente attive in Chrome. Non si tratta di “attacchi sperimentali” descritti in articoli accademici, bensì di meccanismi operativi che milioni di siti web utilizzano già all’insaputa e senza il consenso degli utenti. Secondo l’autore, il browser di Google non offre quasi nessuna protezione integrata contro tali metodi, nonostante Chrome rimanga il browser più diffuso al mondo.
L’impronta digitale di un browser è composta da molti dettagli: il sistema operativo, la risoluzione dello schermo, la selezione dei caratteri, la grafica, l’audio e il comportamento di rete. Alcune di queste informazioni vengono ricevute direttamente dal server, mentre altre vengono raccolte da script presenti sulla pagina e da elementi di tracciamento di terze parti. Di conseguenza, anche senza cookie, un sito web può riconoscere un dispositivo specifico e collegare le visite a siti diversi.
Circa dieci anni fa, Apple, Mozilla e altri sviluppatori hanno iniziato a limitare attivamente il tracciamento basato sui cookie. Da allora, il settore pubblicitario ha spostato la sua attenzione sul fingerprinting, poiché è significativamente più difficile da bloccare. Questa tecnologia viene utilizzata non solo per la pubblicità, ma anche per rilevare le frodi, sebbene la raccolta massiva di tali dati rappresenti un serio rischio per la privacy.
Hanff sottolinea che il problema si è da tempo esteso ben oltre un argomento circoscritto. Uno studio del 2021 ha rilevato che i metodi di fingerprinting del browser erano presenti su oltre il 10% dei 100.000 siti web più popolari e su oltre un quarto dei primi 10.000.
Un altro studio, pubblicato lo scorso anno, è giunto a una conclusione ancora più allarmante: per identificare il 95% delle persone, è sufficiente conoscere solo i quattro siti web che visitano più frequentemente. In questo caso, l’impronta digitale non è più il browser, ma il comportamento stesso della persona.
Google ha lanciato la sua iniziativa Privacy Sandbox nel 2019, affermando esplicitamente che il blocco dei cookie di terze parti stava spingendo il mercato verso tecniche opache come il fingerprinting. L’azienda ha definito questo approccio errato e ha promesso di creare standard di privacy più elevati per Internet.
Tuttavia, sei anni dopo, il progetto non è riuscito a fornire una protezione significativa contro il fingerprinting digitale ed è stato successivamente chiuso. Alcuni mesi prima di abbandonare Privacy Sandbox, Google aveva già ammorbidito la sua posizione, consentendo di fatto il fingerprinting, previa divulgazione .
Hanff confronta nello specifico Chrome con i suoi concorrenti. Nota che Brave utilizza il farbling , Firefox offre un meccanismo privacy.resistFingerprinting, mentre Chrome non offre una protezione integrata paragonabile.
Tra le superfici vulnerabili, l’autore elenca Canvas, WebGL, WebGPU, AudioContext, font, parametri di visualizzazione e navigazione, perdite IP tramite WebRTC, TLS, rendering delle emoji, sintesi vocale, layout della tastiera e altri indicatori. Descrive inoltre 23 meccanismi di archiviazione e tracciamento, tra cui cookie, tracciamento dei bounce e cloaking CNAME.
Questo problema è particolarmente allarmante alla luce del recente rapporto di Citizen Lab.
I ricercatori di sicurezza, hanno rivelato come i dati di tracciamento pubblicitario vengano venduti ad agenzie governative e forze dell’ordine in tutto il mondo. Uno dei prodotti menzionati raccoglie automaticamente indirizzi IP, tipo di browser, lingua, versione, plugin, informazioni sul sistema operativo, tipo di dispositivo, informazioni su CPU e GPU, risoluzione dello schermo, informazioni sul provider di servizi Internet (ISP), geolocalizzazione approssimativa, attività dell’utente, fuso orario, livello di carica della batteria e stato di carica. Questa suite di funzionalità include anche il fingerprinting del dispositivo.
Google non ha risposto a una richiesta di commento. Hanff conclude scrivendo che tutti i metodi descritti sono operativi da tempo su internet e vengono utilizzati quotidianamente contro miliardi di persone. Capire come funziona la sorveglianza non è più sufficiente. Il passo successivo, a suo avviso, è imparare a rilevare in modo affidabile tali meccanismi agli utenti.
