Ikonka webu jako nový způsob špehování uživatelů. Německý programátor ukázal, jak ji zneužít

Ikonka webu jako nový způsob špehování uživatelů. Německý programátor ukázal, jak ji zneužít

Webové prohlížeče postupně přidávají nové funkce, jejichž společným cílem je snaha omezit či zcela eliminovat sledování uživatelů. V posledních letech tak například zavedly možnost blokování cookies třetích stran, izolování supercookies či blokování nejrůznějších monitorovacích skriptů.

Server Motherboard tento týden publikoval informace o nové metodě sledování pohybu uživatelů po webu. Spočívá v ikoně webu (tzv. „favicon“), která slouží ke grafickému rozlišení webových stránek. Tato ikona se zobrazuje například v ouškách oken/karet či v oblíbených položkách.

Záludná ikona

Ikona webu je poměrně starou záležitostí. Fyzicky se jedná o soubor s názvem favicon.ico, umístěný nejčastěji v kořenovém adresáři webu. Provozovatel ji může deklarovat v hlavičce stránky ve zdrojovém kódu – například na Živě.cz je to <link rel="shortcut icon" href="/Client.Images/favicon.ico" type="image/x-icon" />.

Dle německého programátora Jonase Strehlea lze tyto ikony velice snadno zneužít. Konkrétně mohou webům umožnit sledovat pohyb uživatele po internetu, obcházet VPN, anonymní režim a další tradiční metody maskování online počínání.

Metoda, kterou sám autor označil jako „supercookie“, používá ikony webů k přiřazení jedinečného identifikátoru návštěvníkům webových stránek. Na rozdíl od tradičních metod sledování může být toto ID uloženo takřka trvale a uživatel jej nemůže snadno smazat. Sledování funguje i v anonymním režimu a nelze mu zamezit smazáním dočasných souborů, ukončením prohlížeče, restartováním systému, použitím VPN ani instalací doplňků pro blokování reklam.

Strehle vysvětluje, že se touto metodou začal zabývat poté, co si přečetl vědeckou práci z University of Illinois ohledně možného zneužívání ikon. Sám pak vystavil na GitHubu ukázkový důkaz (proof-of-concept), kterým prokazuje, že tento způsob skutečně funguje. Nutno podotknout, že dle dostupných informací zatím není zneužíván v praxi.

Děsivě prosté

V kostce jde o to, že ikony webů jsou ukládány do samostatné lokální databáze – takzvané favicon cache. Ta tak obsahuje informace o tom, které stránky uživatel navštívil. Při návštěvě webu prohlížeč nejprve kontroluje, zda má jeho aktuální ikonu v databázi. Pokud tomu tak není, stáhne si ji a uloží. V opačném případě použije ikonu z databáze.

Tato data umožňují webovému serveru zjistit o návštěvníkovi docela dost informací. „Kombinací stavu doručených a nedoručených ikon pro konkrétní URL lze klientovi přiřadit jedinečný vzor (identifikační číslo)“ konstatuje Strehle. Na základě tohoto údaje je pak web schopen jednoznačně identifikovat prohlížeč při dalších návštěvách.

Vývojář spustil webovou stránku, na které ukazuje, jak snadné je sledovat uživatele pomocí ikonek. Zveřejnil také zdrojový kód a podrobně vysvětlil, jak na jeho webu fungují „supercookies“. Nejděsivější na této zranitelnosti je to, jak snadno obchází tradiční metody, které lidé používají k zachování online soukromí.

Odborníci z University of Illinois v Chicagu potvrdili, že tato metoda sledování funguje ve všech hlavních prohlížečích. Vzhledem k závažnosti potenciální hrozby navrhují „změnu chování prohlížečů při ukládání ikon webů do databáze.“

Diskuze (18) Další článek: Proč se nevyžádané poště říká spam? Prsty v tom má Monty Python

Témata článku: Internet, Bezpečnost, Web, Komunikace, GitHub, VPN, Sledování, Soukromí, Špehování, Ikonka, Ikona, Univerzita of Illinois, Programátor, Supercookie, Metoda, Nový způsob, Chicago, Uživatelé, Webová stránka


Určitě si přečtěte

Bankovní identita bude jednotná. K České spořitelně, ČSOB a KB se připojí menší banky
Lukáš Václavík
Portál občanaBankaeGovernment
Šmírování kamerami Googlu: Koukněte, co se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 4

redakce
Mapy GoogleStreet View
Vybíráme nejlepší monitory: Od úplně levných až po displeje na rozmazlování očí

Vybíráme nejlepší monitory: Od úplně levných až po displeje na rozmazlování očí

** Vybrali jsme nejlepší monitory na práci i pořádné hraní ** Nejlevnější monitor s kvalitním panelem nestojí ani tři tisíce ** Rozlišení 4K a větší obrazovka už není nedostupný luxus

David Polesný | 31

David Polesný
Monitory
Apple Macbook Air M1: testujeme výkon, výdrž, a hlavně kompatibilitu aplikací [průběžně aktualizováno]

Apple Macbook Air M1: testujeme výkon, výdrž, a hlavně kompatibilitu aplikací [průběžně aktualizováno]

** Testujeme Apple Macbook Air s procesorem M1 ** Zajímá nás nejen výkon, ale zejména kompatibilita aplikací ** Článek je průběžně doplňován na základě vašich dotazů

Jiří Kuruc | 209

Jiří Kuruc
Apple
Google vymyslel technologii superpřesného GPS. Už ji podporuje Pixel 5 a dorazí i na ostatní telefony

Google vymyslel technologii superpřesného GPS. Už ji podporuje Pixel 5 a dorazí i na ostatní telefony

** Kvalita GPS ve městech občas stojí za starou bačkoru ** Mohou za to odrazy signálu od okolních budov ** Google má jejich 3D model, a tak spolupracuje s výrobci GPS čipů

Jakub Čížek | 44

Jakub Čížek
NavigaceTechnologieGoogle
Windows 10 vylepšují správu aktualizací ovladačů hardwarových komponent počítače
Karel Kilián
OvladačeWindows UpdateWindows 10

Aktuální číslo časopisu Computer

Megatest rychlých Wi-Fi 6 routerů

Jak ztišit počítač

Velký test mATX skříní