Bezpečnost | Web | Soukromí

Ikonka webu jako nový způsob špehování uživatelů. Německý programátor ukázal, jak ji zneužít

Ikonka webu jako nový způsob špehování uživatelů. Německý programátor ukázal, jak ji zneužít

Webové prohlížeče postupně přidávají nové funkce, jejichž společným cílem je snaha omezit či zcela eliminovat sledování uživatelů. V posledních letech tak například zavedly možnost blokování cookies třetích stran, izolování supercookies či blokování nejrůznějších monitorovacích skriptů.

Server Motherboard tento týden publikoval informace o nové metodě sledování pohybu uživatelů po webu. Spočívá v ikoně webu (tzv. „favicon“), která slouží ke grafickému rozlišení webových stránek. Tato ikona se zobrazuje například v ouškách oken/karet či v oblíbených položkách.

Záludná ikona

Ikona webu je poměrně starou záležitostí. Fyzicky se jedná o soubor s názvem favicon.ico, umístěný nejčastěji v kořenovém adresáři webu. Provozovatel ji může deklarovat v hlavičce stránky ve zdrojovém kódu – například na Živě.cz je to <link rel="shortcut icon" href="/Client.Images/favicon.ico" type="image/x-icon" />.

Dle německého programátora Jonase Strehlea lze tyto ikony velice snadno zneužít. Konkrétně mohou webům umožnit sledovat pohyb uživatele po internetu, obcházet VPN, anonymní režim a další tradiční metody maskování online počínání.

Metoda, kterou sám autor označil jako „supercookie“, používá ikony webů k přiřazení jedinečného identifikátoru návštěvníkům webových stránek. Na rozdíl od tradičních metod sledování může být toto ID uloženo takřka trvale a uživatel jej nemůže snadno smazat. Sledování funguje i v anonymním režimu a nelze mu zamezit smazáním dočasných souborů, ukončením prohlížeče, restartováním systému, použitím VPN ani instalací doplňků pro blokování reklam.

Strehle vysvětluje, že se touto metodou začal zabývat poté, co si přečetl vědeckou práci z University of Illinois ohledně možného zneužívání ikon. Sám pak vystavil na GitHubu ukázkový důkaz (proof-of-concept), kterým prokazuje, že tento způsob skutečně funguje. Nutno podotknout, že dle dostupných informací zatím není zneužíván v praxi.

Děsivě prosté

V kostce jde o to, že ikony webů jsou ukládány do samostatné lokální databáze – takzvané favicon cache. Ta tak obsahuje informace o tom, které stránky uživatel navštívil. Při návštěvě webu prohlížeč nejprve kontroluje, zda má jeho aktuální ikonu v databázi. Pokud tomu tak není, stáhne si ji a uloží. V opačném případě použije ikonu z databáze.

Tato data umožňují webovému serveru zjistit o návštěvníkovi docela dost informací. „Kombinací stavu doručených a nedoručených ikon pro konkrétní URL lze klientovi přiřadit jedinečný vzor (identifikační číslo)“ konstatuje Strehle. Na základě tohoto údaje je pak web schopen jednoznačně identifikovat prohlížeč při dalších návštěvách.

Vývojář spustil webovou stránku, na které ukazuje, jak snadné je sledovat uživatele pomocí ikonek. Zveřejnil také zdrojový kód a podrobně vysvětlil, jak na jeho webu fungují „supercookies“. Nejděsivější na této zranitelnosti je to, jak snadno obchází tradiční metody, které lidé používají k zachování online soukromí.

Odborníci z University of Illinois v Chicagu potvrdili, že tato metoda sledování funguje ve všech hlavních prohlížečích. Vzhledem k závažnosti potenciální hrozby navrhují „změnu chování prohlížečů při ukládání ikon webů do databáze.“

Diskuze (18) Další článek: Proč se nevyžádané poště říká spam? Prsty v tom má Monty Python

Témata článku: Internet, Bezpečnost, Web, VPN, GitHub, Sledování, Komunikace, Soukromí, Programátor, Univerzita of Illinois, Webová stránka, Ikonka, Závažnost, Ikona, Chicago, Metoda, Uživatelé, Nový způsob, Supercookie, Špehování



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Jak zrcadlit obrazovku mobilu a počítače do televize

Jak zrcadlit obrazovku mobilu a počítače do televize

Ať už se chcete pochlubit fotkami z dovolené na velké obrazovce, nebo si přehrát video uložené na disku počítače, neobejdete se bez zrcadlení obrazovky. Ve výchozím stavu jej podporuje Windows i Android.

Stanislav Janů
NávodyTelevizeWindows
Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

** Jak poznat, že váš telefon má nejlepší dny za sebou? ** Vypadá potlučeně, má pavučinu nebo nedostává aktualizace? ** Ukážeme si, kdy má smysl jeho oprava, a kdy už jen koupě nového

Martin Chroust
Prasklý displejVysloužilý mobilSmartphony
Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

** Jak poznat, že je váš smartphone hacknutý? ** Hledejte známky po nestandardním chování telefonu ** Stačí když telefon vydrží méně nebo topí i v klidovém režimu...

Martin Chroust
Jak...Malware
15 praktických tipů a triků pro Mapy.cz, které možná neznáte

15 praktických tipů a triků pro Mapy.cz, které možná neznáte

** Mapy.cz neslouží jen k zobrazení podkladů a plánování tras ** Nabízejí celou řadu dalších praktických funkcí a možností ** Vybrali jsme 15 tipů a triků, o kterých možná nevíte

Karel Kilián
Mapy.czMapyTipy
Méně známé funkce Total Commanderu: Užitečné tipy na vestavěné funkce i doplňky

Méně známé funkce Total Commanderu: Užitečné tipy na vestavěné funkce i doplňky

Total Commander je jedním z nejúspěšnějších správců souborů se dvěma panely vedle sebe. Vyhovuje především uživatelům zvyklým na tento typ souborových manažerů už z dob MS DOSu. Vybrali jsme funkce, které možná neznají ani dlouholetí uživatelé.

Karel Kilián
Total CommanderTipySoftware
Kurvítka v základní výbavě, výrobci mají umělé zastarávání v malíku. Začalo to bateriemi, pokračuje softwarem

Kurvítka v základní výbavě, výrobci mají umělé zastarávání v malíku. Začalo to bateriemi, pokračuje softwarem

** Nejen mobilní výrobci jsou naučeni rok od roku prodávat stále více telefonů ** Tento trend se však zákonitě musí někdy zastavit ** Jenže, co naplat, když jsou starší zařízení „uměle“ nepoužitelná?

Martin Chroust
Prasklý displejBaterieAktualizace softwaru