Clau per emportar
- Un investigador ha creat un lloc web que genera una empremta digital única basada en les extensions del navegador instal·lades.
- L'empremta digital es pot utilitzar per fer un seguiment dels usuaris al web, afirma l'investigador.
- Els experts en seguretat suggereixen eliminar totes les extensions innecessàries per no destacar.
Les extensions del vostre navegador web es podrien utilitzar per identificar-vos de manera única al web.
Per oferir a la gent l'oportunitat de viure això, un investigador de seguretat ha creat un lloc web que analitza les extensions de Google Chrome instal·lades per generar una empremta digital, que segons ell es pot utilitzar per fer-ne un seguiment en línia.
"Sempre que hi hagi alguna cosa semiúnic en un ordinador, es pot utilitzar per obtenir una empremta digital", va dir a Lifewire per correu electrònic Erich Kron, defensor de la seguretat de KnowBe4. "La singularitat de l'empremta digital pot dependre del que s'està mesurant o provant."
Empremta digital del navegador
L'investigador, que utilitza el pseudònim z0ccc, va explicar que l'empremta digital del navegador és un mètode potent que molts llocs web utilitzen per recopilar tot tipus de detalls sobre els visitants, incloent-hi el tipus i la versió del navegador, el seu sistema operatiu, els connectors actius, el temps. zona, idioma, resolució de pantalla i altres configuracions actives.
Va argumentar que, tot i que aquests punts de dades poden no ser d'utilitat per si mateixos, quan es combinen, podrien ajudar a identificar de manera única una persona específica, ja que hi ha una possibilitat molt petita que diverses persones tinguin el mateix conjunt de punts de dades.
Les nostres normatives de privadesa tenen moltes coses per posar-se al dia.
"Els llocs web utilitzen la informació que proporcionen els navegadors per identificar usuaris únics i fer un seguiment del seu comportament en línia", va explicar z0ccc. "Per tant, aquest procés s'anomena "empremta digital del navegador".
A partir de la combinació d'extensions instal·lades, el lloc web genera un hash de seguiment que es pot utilitzar per fer un seguiment d'aquest navegador en concret al web.
L'investigador va explicar que la seva prova d'empremta digital d'extensions es basa en determinades propietats d'extensió del navegador, que va dir que estan presents en més de 1100 extensions, incloses les populars com AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, i més.
Va admetre que algunes extensions prenen mesures per evitar la detecció. Tanmateix, va trobar un truc per utilitzar el seu comportament per determinar si s'havia instal·lat alguna d'aquestes extensions protegides.
En una entrevista, z0ccc va afirmar que, tot i que no està recopilant cap dada sobre les extensions instal·lades de les persones que utilitzen el seu lloc web, les seves proves han demostrat que tenir més de 3 extensions crearà una empremta digital única.
En essència, les persones que no tinguin extensions instal·lades tindran la mateixa empremta digital, cosa que farà que siguin menys úniques i difícils de rastrejar. Per contra, els que tinguin moltes extensions tindran una empremta digital menys comuna, cosa que els farà més propensos al seguiment.
Els guants estan fora
En una discussió per correu electrònic amb Lifewire, Harman Singh, director del proveïdor de serveis de ciberseguretat Cyphere, va dir que l'empremta dactilar del navegador és una tècnica coneguda que utilitzen els llocs web de publicitat i màrqueting en línia a tot el món.
La recollida de dades és una part integral de l'ecosistema de publicitat en línia, va explicar Singh, i aquest tipus d'empremtes digitals del navegador és només un mecanisme més per ajudar-los a publicar anuncis orientats.
A més, va afegir que fins i tot les institucions financeres com els bancs utilitzen aquests mètodes d'empremtes digitals del navegador com a part dels seus mecanismes de detecció de frau per detectar si el seu visitant és un usuari genuí o una anomalia maliciosa com un bot.
La presa d'empremtes digitals del navegador no és il·legal, ja que no identifica cap usuari. Tanmateix, la recollida de dades es regeix per lleis de privadesa, com ara el Reglament general de protecció de dades (GDPR) i la Llei de privadesa del consumidor de Califòrnia (CCPA), va afegir Singh.
Parlant específicament sobre la prova d'empremtes dactilars d'extensió de z0ccc, Kron va explicar que, tot i que és interessant des d'una perspectiva acadèmica, sembla limitada en la seva utilitat en la seva forma actual.
"A més, en les meves proves limitades, això no va recollir extensions habituals al navegador Edge, retornant el mateix hash per a Chrome en mode d'incògnit, com ho va fer [a] Edge amb l'extensió LastPass instal·lada ". va dir en Kron. "Hi ha hagut altres mètodes d'empremtes digitals que utilitzen maquinari, càlculs fets per la targeta gràfica instal·lada, per exemple, que podrien ser una mica més difícils de resoldre."
Per ajudar-nos a suggerir maneres perquè les persones ajudin a eludir aquestes empremtes digitals del navegador, Singh va dir que un bon lloc per començar és l'eina Panopticlick, que ofereix una visió de quanta i quina informació està revelant el vostre navegador web als llocs web.
D' altra banda, Kron creu que sempre és una bona pràctica eliminar o desactivar les extensions del navegador no utilitzades.
"Per als usuaris d'Internet, no és possible tenir una protecció completa contra aquestes tècniques de seguiment tret que ho dicti la llei", va opinar Singh. "Les nostres normatives de privadesa tenen molt a què posar-se al dia."
