Ricercatori del New Jersey Institute of Technology avvertono gli utenti del web di un potenziale attacco che consente di de-anonimizzare la navigazione ai siti in modalità privata, permettendo di mettere insieme vari dettagli sull’utente collegato in quel momento a un sito, anche quando questo sta navigando in modalità anonima.
I risultati della ricerca verranno presentati il prossimo mese allo Usenix Security Symposium di Boston, evidenziando una tecnica che consiste nel convincere qualcuno a visitare un sito web creato ad hoc e da qui effettuare analisi e ricavare elementi che consentono di identificare con precisione l’utente, tenendo conto di indirizzi email, account sui social media, e altri elementi ancora.
Quando si visita una pagina web, quest’ultima può identificare l’indirizzo IP dell’utente ma questo elemento non offre necessariamente informazioni che consentono di identificare in modo univoco l’utente. L’hack in questione tiene conto di sottili peculiarità nell’attività del browser, stabilendo se l’utente è collegato con gli account di servizi quali YouTube, Dropbox, Twitter, Facebook, TikTok. Il meccanismo di attacco funziona con qualsiasi browser che permette di navigare in modalità anonima, e anche con Tor, browser specificatamente pensato per permettere una navigazione anonima sul web.
“Se siete l’utente medio di internet non vi preoccupate troppo della privacy quando si visitano siti web a caso”, spiega Reza Curtmola, uno degli autori dello studio e computer science professor presso l’NJIT; “ma ci sono alcune categorie di utenti internet, che potrebbero essere fortemente penalizzati da quanto scoperto, ad esempio persone che organizzano e partecipano ad attività politiche, giornalisti e persone in contatto con colleghi di gruppi minoritari”. Ciò che rende questo tipo di attacchi pericolosi è la possibilità di attivarli in modo furtivo, invisibile: si visita un sito web e non si ha semplicemente idea di essere stato esposti”.
Per ottenere determinate informazioni – spiega Wired – l’attacker ha bisogno di un sito, un elenco di account di persone da identificare come visitatori del sito-esca, e riferimenti a contenuti già pubblicati sulle varie piattaforme dagli account nell’elenco dei bersagli; l’attacker integra il contenuto-esca nel sito e aspetta di vedere chi clicca; se una persona che fa parte dell’elenco degli obiettivi visita il sito, gli aggressori riescono a individuare l’identità analizzando quali utenti possono (o non possono) visualizzare il contenuto incorporato, risalendo all’identità.
La debolezza riguarda i meccanismi di embedding sfruttati da servizi quali Google Drive e affini. Quando dei visitatori tentano ad esempio di caricare una foto tramite Google Drive, gli aggressori sono in grado dedurre con precisione se l’utente è autorizzato ad accedere al contenuto, e quindi se ha il controllo dell’indirizzo e-mail in questione. Secondo i ricercatori, è possibile addestrare algoritmi di apprendimento automatico analizzando dati apparentemente non correlati sul modo in cui il browser e il dispositivo della vittima elaborano le richieste; una volta che l’aggressore comprende che l’utente con il quale ha a che fare ha il permesso di visualizzare il contenuto (o che l’utente a cui è stata negata la visualizzazione non è riuscito a vederlo) può determinare l’identità del visitatore del sito.
Le possibili contromisure sono complicate; i ricercatori hanno sviluppato un’estensione per Chrome e Firefox che dovrebbe contrastare questa tipologia di attacchi ma evidenziano che potrebbe avere impatto sulle prestazioni. Sono stati ad ogni modo allertati vari organismi e he si occupano degli standard del web per capire come affrontare il problema in modo più ampio e mettere a punto soluzioni efficaci.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione del nostro sito.
