Novo método de Web tracking usando Favicons
Tecnologias para tracking parecem estar sempre um passo a frente
![Imagem de uma câmera desenhada em um muro Imagem de uma câmera desenhada em um muro](https://substackcdn.com/image/fetch/w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fbucketeer-e05bbc84-baa3-437e-9518-adb32be77984.s3.amazonaws.com%2Fpublic%2Fimages%2Ffbe5c0f5-2d91-4e7c-af69-bf8d81a57053_1920x1276.jpeg)
Nos últimos anos as ameaças de privacidade e do rastreamento online têm chamado atenção de pesquisadores e até mesmo de usuários leigos.
Estamos um pouco mais cautelosos com a privacidade e “mais ligados” no tema.
Do lado dos navegadores é notável uma evolução, já que gradualmente adotam medidas para mitigar as diferentes formas de rastreamento.
Porém, a complexidade e a infinidade de recursos muitas vezes levam a subversão do lado de quem quer explorar vulnerabilidades e achar outros meios para o tracking.
No excelente paper Tales of F A V I C O N S and Caches: Persistent Tracking in Modern Browsers, os pesquisadores Konstantinos Solomos, John Kristoff, Chris Kanich e Jason Polakis apresentam um novo mecanismo de rastreamento.
E vejam a inovação, o estudo usa um recurso simples, inocente mas onipresente: favicons.
Isso mesmo, um site também pode rastrear usuários durante a navegação, armazenando um identificador de rastreamento em entradas no cache de favicon do navegador.
Em visitas subsequentes, o site pode reconstruir o identificador, observando quais favicons são solicitados pelo navegador enquanto o usuário é redirecionado rapidamente.
O cache de favicons em navegadores modernos possuem várias características únicas que tornam esse vetor de rastreamento particularmente poderoso, pois é persistente (não adianta nem limpar os dados do navegador).
E vejam só, não adianta nem usar o modo privado. Esse cache de favicon ignora o modo que você está navegando, ou seja, a persistência no favicon é realmente eficaz em todos os aspectos.
O estudo mostra que combinando a técnica de rastreamento baseada em favicon com atributos de fingerprinting do navegador, é possível que um site reconstrua um identificador de 32 bits em 2 segundos.
Além disso, o ataque funciona em todos os principais navegadores que usam cache de favicon, incluindo Chrome, Safari, Brave e Edge.
Como o ataque é muito grave, o estudo está propondo mudanças para esse comportamento de cache de favicon nos navegadores.
Em tempo de escrita deste artigo, apenas o navegador Brave já implementou uma solução para o problema, fazendo com que ao limpar o cache, o favicon também seja excluído.
O Firefox aparentemente não é afetado por conta de um bug/feature que justamente não carrega o favicon do cache.
Para quem quiser saber mais, o vídeo abaixo (em inglês) explica e mostra alguns detalhes do paper.
E para quem quiser se aprofundar no assunto e até mesmo testar a vulnerabilidade, segue o paper: https://www.cs.uic.edu/~polakis/papers/solomos-ndss21.pdf