Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una bug di sicurezza all'interno di Mozilla Firefox consente il tracciamento degli utenti senza cookie attraverso un fingerprint unico e generato via IndexedDB. Il problema riguarda anche Tor Browser e consente la compromissione della modalità privata, permettendo ai siti di riconoscere lo stesso utente tra le diverse sessioni attive.
È stata scoperta una falla inaspettata all’interno dei browser basati su Firefox che consente ai siti web di “riconoscere” gli utenti anche in aree in cui ci si aspetta la privacy. Non si tratta di cookie o di metodi di tracciamento tradizionali.
Gli specialisti di Fingerprint hanno rilevato il bug e affermano che la vulnerabilità interessa tutti i browser che utilizzano Mozilla Firefox, incluso Tor Browser. Questi browser rivelano di fatto un’impronta digitale univoca, consentendo di tracciare gli utenti su diversi siti web senza l’utilizzo di cookie o altri metodi convenzionali.
Un sito web può creare una serie di database utilizzando il meccanismo IndexedDB locali e osservare l’ordine con cui il browser restituisce tali informazioni. Quell’ordine non è casuale: dipende da strutture dati interne a Firefox e rimane stabile per tutta la durata del processo del browser.
Il risultato è un identificatore implicito. Quindi due siti diversi, senza condividere alcun dato tra loro, possono ottenere la stessa sequenza e quindi dedurre di trovarsi di fronte alla stessa istanza del browser e di conseguenza, di fronte allo stesso utente.
Un problema particolarmente spiacevole riguarda la modalità di navigazione privata.
Anche dopo aver chiuso tutte le finestre private, tale identificativo può persistere finché il processo di Firefox continua a essere in esecuzione. La situazione è persino peggiore in Tor Browser. La funzione “Nuova identità”, che dovrebbe interrompere completamente la connessione tra le sessioni, non risolve il problema: l’ordine del database rimane invariato e i siti web possono collegare l’attività precedente e successiva al ripristino.
Il motivo, riportano i ricercatori di sicurezza, risiede nel fatto in cui il browser memorizza i dati. In modalità privata, i nomi dei database vengono sostituiti con identificatori casuali e scritti in una specifica tabella condivisa che persiste fino a quando il browser non viene riavviato. Quando un sito richiede un elenco, il browser li restituisce non ordinati. L’ordine risultante dipende dalla struttura interna e rimane costante all’interno di un singolo processo. Questo ordine non è legato a un sito specifico, il che significa che funziona su tutte le schede e su tutti i domini.
L’attacco non richiede cookie, archiviazione locale o altri meccanismi convenzionali. È sufficiente una normale interfaccia browser. Inoltre, la “capacità” di tale impronta digitale è piuttosto elevata. Se un sito crea, ad esempio, 16 database, i possibili ordinamenti sono così numerosi da essere sufficienti a distinguere in modo affidabile gli utenti all’interno di una singola sessione.
Gli sviluppatori hanno segnalato il problema a Mozilla e al Progetto Tor e una correzione è già stata rilasciata in Firefox 150 e nella versione di supporto a lungo termine, la 140.10.0 . La vulnerabilità è stata registrata attraverso il numero di bug Mozilla 2024220 e la soluzione implementata è semplice: ora il browser ordina l’elenco del database prima di visualizzarlo, rimuovendo il “rumore” univoco che fungeva da identificatore.
