Bezpečnost | Web | Soukromí

Ikonka webu jako nový způsob špehování uživatelů. Německý programátor ukázal, jak ji zneužít

Webové prohlížeče postupně přidávají nové funkce, jejichž společným cílem je snaha omezit či zcela eliminovat sledování uživatelů. V posledních letech tak například zavedly možnost blokování cookies třetích stran, izolování supercookies či blokování nejrůznějších monitorovacích skriptů.

Server Motherboard tento týden publikoval informace o nové metodě sledování pohybu uživatelů po webu. Spočívá v ikoně webu (tzv. „favicon“), která slouží ke grafickému rozlišení webových stránek. Tato ikona se zobrazuje například v ouškách oken/karet či v oblíbených položkách.

Záludná ikona

Ikona webu je poměrně starou záležitostí. Fyzicky se jedná o soubor s názvem favicon.ico, umístěný nejčastěji v kořenovém adresáři webu. Provozovatel ji může deklarovat v hlavičce stránky ve zdrojovém kódu – například na Živě.cz je to <link rel="shortcut icon" href="/Client.Images/favicon.ico" type="image/x-icon" />.

Dle německého programátora Jonase Strehlea lze tyto ikony velice snadno zneužít. Konkrétně mohou webům umožnit sledovat pohyb uživatele po internetu, obcházet VPN, anonymní režim a další tradiční metody maskování online počínání.

Metoda, kterou sám autor označil jako „supercookie“, používá ikony webů k přiřazení jedinečného identifikátoru návštěvníkům webových stránek. Na rozdíl od tradičních metod sledování může být toto ID uloženo takřka trvale a uživatel jej nemůže snadno smazat. Sledování funguje i v anonymním režimu a nelze mu zamezit smazáním dočasných souborů, ukončením prohlížeče, restartováním systému, použitím VPN ani instalací doplňků pro blokování reklam.

Strehle vysvětluje, že se touto metodou začal zabývat poté, co si přečetl vědeckou práci z University of Illinois ohledně možného zneužívání ikon. Sám pak vystavil na GitHubu ukázkový důkaz (proof-of-concept), kterým prokazuje, že tento způsob skutečně funguje. Nutno podotknout, že dle dostupných informací zatím není zneužíván v praxi.

Děsivě prosté

V kostce jde o to, že ikony webů jsou ukládány do samostatné lokální databáze – takzvané favicon cache. Ta tak obsahuje informace o tom, které stránky uživatel navštívil. Při návštěvě webu prohlížeč nejprve kontroluje, zda má jeho aktuální ikonu v databázi. Pokud tomu tak není, stáhne si ji a uloží. V opačném případě použije ikonu z databáze.

Tato data umožňují webovému serveru zjistit o návštěvníkovi docela dost informací. „Kombinací stavu doručených a nedoručených ikon pro konkrétní URL lze klientovi přiřadit jedinečný vzor (identifikační číslo)“ konstatuje Strehle. Na základě tohoto údaje je pak web schopen jednoznačně identifikovat prohlížeč při dalších návštěvách.

Vývojář spustil webovou stránku, na které ukazuje, jak snadné je sledovat uživatele pomocí ikonek. Zveřejnil také zdrojový kód a podrobně vysvětlil, jak na jeho webu fungují „supercookies“. Nejděsivější na této zranitelnosti je to, jak snadno obchází tradiční metody, které lidé používají k zachování online soukromí.

Odborníci z University of Illinois v Chicagu potvrdili, že tato metoda sledování funguje ve všech hlavních prohlížečích. Vzhledem k závažnosti potenciální hrozby navrhují „změnu chování prohlížečů při ukládání ikon webů do databáze.“

Diskuze (18) Další článek: Proč se nevyžádané poště říká spam? Prsty v tom má Monty Python

Témata článku: , , , , , , , , , , , , , , , , , , , ,