As proteções anti-rastreamento do Safari podem vazar históricos de navegação e pesquisa

19

Quando a Apple introduziu poderosas proteções anti-rastreamento no Safari em 2017, os anunciantes se uniram para dizer que estavam "profundamente preocupados". sabotar o conteúdo suportado por anúncios. Agora, há novas informações mostrando que os usuários do Safari também tinham bons motivos para desconforto.

Conhecido como Prevenção de rastreamento inteligente, o mecanismo usa o aprendizado de máquina para classificar quais sites têm permissão para usar cookies ou scripts do navegador hospedados em domínios de terceiros para rastrear usuários. As classificações são baseadas nos padrões de navegação específicos de cada usuário final. Os sites que os usuários finais visitam intencionalmente têm permissão para fazer o rastreamento entre sites. Os sites que os usuários não visitam ativamente (mas são acessados ​​por meio de scripts de rastreamento) são restritos, removendo automaticamente os cookies que eles definem ou truncando cabeçalhos de referenciador para incluir apenas o domínio, e não o URL inteiro.

UMA artigo publicado na quarta-feira por pesquisadores do Google disseram que essa proteção corria um risco considerável para os usuários finais da privacidade. Como a lista de sites restritos é baseada nos padrões de navegação individuais dos usuários, a Intelligent Tracking Prevention – geralmente abreviada como ITP – introduz configurações no Safari que podem ser modificadas e detectadas por qualquer página da Internet. O jornal disse que os sites foram capazes de usar esse recurso para uma série de ataques, incluindo:

  • obtendo uma lista de sites visitados recentemente
  • criando uma impressão digital persistente que segue um usuário na Web
  • vazamento de resultados de pesquisa ou outras informações confidenciais exibidas pelo Safari
  • forçar qualquer domínio à lista de sites não autorizados a usar scripts ou cookies de terceiros

Os pesquisadores do Google disseram que a Apple aborda "vários problemas" com o lançamento em dezembro do Safari 13.0.4 e iOS 13.3. Os pesquisadores não elaboraram.

Algum rastreamento entre sites está OK

Nem todo rastreamento de terceiros é invasivo. Usando credenciais do Google ou Facebook para fazer login em um site diferente através OAuth é um exemplo de rastreamento entre sites que muitas pessoas consideram útil. O documento do Google fornece mais detalhes sobre como a ITP decide quais sites devem ser restritos. Embora o processo seja complicado, o limite para um site ser incluído na lista restrita de ITP foi quando o Safari detectou que ele era usado para rastreamento de terceiros por outros três domínios. A lista é armazenada como domínios registrados. A lista só pode ser anexada, mas é limpa sempre que um usuário limpa o histórico de navegação do Safari.

O artigo continua:

Como resultado da personalização da lista ITP com base nos padrões de navegação individuais de cada usuário, o Safari introduziu o estado global no navegador, que pode ser modificado e detectado em todos os documentos.

Qualquer site pode emitir solicitações entre sites, aumentando o número de ocorrências de ITP para um domínio arbitrário e forçando que ele seja adicionado à lista de ITP do usuário. Ao verificar os efeitos colaterais do acionamento do ITP para uma determinada solicitação HTTP entre sites, um site pode determinar se seu domínio está presente na lista de ITP do usuário; ele pode repetir esse processo e revelar o estado do ITP para qualquer domínio.

É trivial para os invasores determinar o status do ITP de qualquer domínio sob seu controle. Os invasores simplesmente emitem solicitações entre sites de outro domínio e verificam se o cabeçalho do referenciador foi truncado ou se um cookie enviado anteriormente em um contexto primário está presente na solicitação. Revelar o status de domínios fora do controle dos invasores é apenas um pouco mais difícil. Requer o uso de um canal lateral que compara o comportamento dos pedidos afetados pelo ITP com o comportamento daqueles que não são afetados pelo ITP. O artigo diz que a Internet “abunda” nesses canais laterais e identifica seis deles.

O documento continua listando cinco ataques que são possíveis pelo ITP do Safari. Eles incluem:

  • revelando domínios na lista ITP
  • identificação de sites visitados individuais
  • criando uma impressão digital persistente por meio de uma técnica conhecida como pinagem ITP
  • forçando um domínio para a lista ITP
  • explorar o vazamento de informações através de ataques de pesquisa entre sites

Além do jornal de quarta-feira, tópicos aqui e aqui forneça detalhes técnicos adicionais.

A Apple responde

Em um postagem publicada no mês passado, John Wilander, engenheiro da Apple WebKit, enumerou as mudanças que sua equipe fez depois que os pesquisadores do Google relataram suas descobertas em particular. Algumas das mudanças incluem:

  • fazendo o downgrade de todos os cabeçalhos de referenciadores de solicitação entre sites para apenas a origem da página
  • impedindo que todas as solicitações de terceiros vejam seus cookies, independentemente do status ITP do domínio de terceiros
  • fazer ajustes na política de cookies original do Safari, impedindo que terceiros definam cookies, a menos que eles já tenham definido cookies como primários

Não está claro imediatamente quantos dos cinco ataques desenvolvidos pelos pesquisadores do Google não são mais possíveis. Nem a Apple nem o Google responderam aos pedidos de comentários para este post. As alterações parecem ser principalmente atenuações de curto prazo, projetadas para dificultar o abuso do ITP pelos invasores. A retirada parece ser que, enquanto o ITP do Safari continuar a depender dos padrões de navegação individuais dos usuários, poderá oferecer mais riscos do que proteção. Ele pode ser desativado na seção de privacidade das preferências do Safari.

Fonte: Ars Technica