Novo método de Web tracking usando Favicons

Tecnologias para tracking parecem estar sempre um passo a frente

CommentShare
Imagem de uma câmera desenhada em um muro
Até o “inocente” favicon pode nos perseguir na internet? Parece que sim. Crédito da imagem: Tobias Tullius - https://unsplash.com/photos/4dKy7d3lkKM

Nos últimos anos as ameaças de privacidade e do rastreamento online têm chamado atenção de pesquisadores e até mesmo de usuários leigos.
Estamos um pouco mais cautelosos com a privacidade e “mais ligados” no tema.
Do lado dos navegadores é notável uma evolução, já que gradualmente adotam medidas para mitigar as diferentes formas de rastreamento.
Porém, a complexidade e a infinidade de recursos muitas vezes levam a subversão do lado de quem quer explorar vulnerabilidades e achar outros meios para o tracking.
No excelente paper Tales of F A V I C O N S and Caches: Persistent Tracking in Modern Browsers, os pesquisadores Konstantinos Solomos, John Kristoff, Chris Kanich e Jason Polakis apresentam um novo mecanismo de rastreamento.
E vejam a inovação, o estudo usa um recurso simples, inocente mas onipresente: favicons.

Screenshot do site da BrazilJS apontando onde está o favicon
Não se preocupem, nosso site não faz isso ☺️

Isso mesmo, um site também pode rastrear usuários durante a navegação, armazenando um identificador de rastreamento em entradas no cache de favicon do navegador.
Em visitas subsequentes, o site pode reconstruir o identificador, observando quais favicons são solicitados pelo navegador enquanto o usuário é redirecionado rapidamente.
O cache de favicons em navegadores modernos possuem várias características únicas que tornam esse vetor de rastreamento particularmente poderoso, pois é persistente (não adianta nem limpar os dados do navegador).
E vejam só, não adianta nem usar o modo privado. Esse cache de favicon ignora o modo que você está navegando, ou seja, a persistência no favicon é realmente eficaz em todos os aspectos.

Imagem que mostra o processo de escrita e leitura do favicon
Processo de escrita e leitura

O estudo mostra que combinando a técnica de rastreamento baseada em favicon com atributos ​​de fingerprinting do navegador, é possível que um site reconstrua um identificador de 32 bits em 2 segundos.
Além disso, o ataque funciona em todos os principais navegadores que usam cache de favicon, incluindo Chrome, Safari, Brave e Edge.
Como o ataque é muito grave, o estudo está propondo mudanças para esse comportamento de cache de favicon nos navegadores.

Em tempo de escrita deste artigo, apenas o navegador Brave já implementou uma solução para o problema, fazendo com que ao limpar o cache, o favicon também seja excluído.
O Firefox aparentemente não é afetado por conta de um bug/feature que justamente não carrega o favicon do cache.

Para quem quiser saber mais, o vídeo abaixo (em inglês) explica e mostra alguns detalhes do paper.

E para quem quiser se aprofundar no assunto e até mesmo testar a vulnerabilidade, segue o paper: https://www.cs.uic.edu/~polakis/papers/solomos-ndss21.pdf

CommentShare