Lejos de proteger la seguridad y la privacidad de los usuarios de Safari tal como se publicita, la Prevención de Rastreo Inteligente (ITP) de Apple podría dejarlos expuestos a una serie de problemas de privacidad, incluyendo, irónicamente, el rastreo.
Esa es la sorprendente conclusión de un grupo de investigadores de Google que esta semana publicaron un breve pero interesante análisis de prueba de concepto de los problemas que encontraron en ITP, algunos de los cuales fueron recientemente corregidos mientras que otros, sugieren, presentan problemas más fundamentales.
Basado en el Deep Learning, ITP fue agregado a Safari en 2017, desde entonces ha sido revisado varias veces hasta la actual implementación de WebKit, versión 2.3, publicada en septiembre de 2019.
Inesperadamente, en diciembre, Apple publicó un blog en el que agradecía a Google por sugerir algunos cambios en el ITP que habían implementado en Safari como parte de las actualizaciones de iOS 13.3 de diciembre, y en Safari para macOS 13.0.4.
Eso ofreció la explicación de Apple de los cambios, esta semana fue el turno de Google y es una lectura interesante.
Los usuarios son presas
Fiel a su nombre, una de las cosas que se supone que el ITP debe hacer es limitar la cantidad de información que los usuarios comparten con las cookies de sitios cruzados (cookies establecidas por un sitio que no es el que están visitando). Los sistemas de rastreo y publicidad normalmente utilizan cookies de sitios cruzados para rastrear y perfilar a los individuos a medida que se mueven de un sitio web a otro, anotando qué sitios visitan y qué hacen.
ITP intenta clasificar los sitios observando cómo interactúan los usuarios con ellos, como una forma de permitir que algunos sitios realicen un seguimiento de las personas con fines legítimos (por ejemplo, haciendo clic intencionadamente en un anuncio o iniciando sesión en sitios que utilizan Facebook).
Esto lo hace contando lo que Google llama “strikes” ITP. Cada vez que se realiza una solicitud de sitio cruzado, el dominio al que se envía la solicitud adquiere un strike. Una vez que un dominio ha acumulado suficientes strikes, se clasifica como un dominio “prevalente”. Los dominios prevalentes están sujetos a restricciones (es posible que se eliminen las cookies y que se acorten las cabeceras de referencia) para garantizar el anonimato del usuario.
Desafortunadamente:
Cualquier sitio puede emitir peticiones de sitio cruzado, aumentando el número de strikes ITP para un dominio arbitrario y forzándolo a ser añadido a la lista ITP del usuario.
Y eso, resulta, permite a los sitios interrogar la lista ITP de un navegador.
Al comprobar los efectos secundarios de la activación del ITP para una determinada petición HTTP entre sitios, un sitio web puede determinar si su dominio está presente en la lista ITP del usuario, puede repetir este proceso y revelar el estado del ITP para cualquier dominio.
En otras palabras, ITP crea un “estado global” para el historial de navegación de un usuario, accesible a cualquier sitio web que visite. Los sitios web furtivos pueden intentar acceder a este estado global para averiguar si un determinado dominio está en la lista o qué sitios web ha visitado un usuario. Lo más alarmante es que el estado único de la base de datos ITP de un usuario podría incluso ser utilizado en su contra como una “huella digital” útil para el seguimiento de sitios cruzados (utilizando una técnica similar a la huella digital de HSTS).
Las actualizaciones de Safari de diciembre solucionaron la mayoría de los problemas en el ITP, pero el hecho de que muchos investigadores fueran capaces de abrir agujeros en él subraya cómo incluso el más sofisticado sistema de anti-tracking puede fracasar.
Por otro lado, algunos de los escenarios de ataque sugeridos por Google habrían requerido que los sitios web invirtieran una buena cantidad de esfuerzo para derrotarlo. Tampoco hay pruebas de que alguno lo hiciera. Si has estado usando Safari recientemente, es poco probable que tu privacidad se haya visto comprometida por las técnicas de las que habla Google.
Sin embargo, Google cree que incluso después de las correcciones de Apple, el problema fundamental de la orientación de la lista ITP y de las huellas será difícil de detener.
Apple ya se ha encontrado en esta situación antes: el soporte para la antigua función de “no rastrear” se eliminó el verano pasado después de que se descubriera que se estaba utilizando como una variable más de las huellas dactilares.
Apple no eliminará ITP, por supuesto. Todos los navegadores necesitan tener alguna respuesta a la cuestión de la privacidad, aunque sea imperfecta.
Pero lo que está claro es que se han tomado más riesgos con ITP de lo que parecía evidente cuando se lanzó hace casi tres años. Crear un filtro basado en el Deep Learning sonaba lógico pero es esa característica de diseño la que potencialmente permite que los atacantes – anunciantes – averiguan cómo funciona y qué es lo que prioriza.