I ricercatori dell’Università Cattolica di Lovanio hanno ideato uno schema per testare l’efficacia delle protezioni offerte dai browser desktop Chrome, Firefox, Safari, Opera, Edge, Tor e Cliqz a una serie di potenziali meccanismi di bypass (i device mobili non sono stati testati) .
Inoltre, 46 principali estensioni e adblocker di terze parti (AdBlock, AdGuard e Ghostery, et al) sono stati confrontati con gli stessi bypass, che includevano tag HTML, response header, reindirizzamenti, API AppCache e Service Worker, JavaScript e persino visualizzatori browser di PDF.
Eseguendo questi test, i ricercatori hanno scoperto che nel complesso, i browser e gli adblocker non sono così male nel bloccare i tentativi di tracciamento, ma alcune volte si perdono. Tuttavia è molto difficile generalizzare perché molto dipende da quale browser si sta utilizzando e se si sta impiegando o meno un adblocker plug-in.
Principalmente, il monitoraggio riguarda i cookie di terze parti con i quali gli inserzionisti bombardano gli utenti quando visitano siti Web. Tali cookie vengono utilizzati per tracciare e mappare interessi e comportamenti, ma possono anche essere sottratti per innescare false richieste cross-site (CSRF) in cui gli utenti si sono autenticati (ad es. Attacchi sul banking online).
Una nota positiva: quando la squadra ha analizzato i 10.000 siti più popolari di Alexa, non è riuscita a trovare nessuno che abusasse delle tecniche software testate.
Ciò non significa che non ci sia una lunga lista di siti al di fuori dei primi 10.000 che lo potrebbero fare, ma la maggior parte degli utenti non li incontrerà tanto spesso.
Quindi, qual è il vantaggio di essere informati al riguardo? Innanzitutto, a quanto pare i ricercatori hanno scoperto possibili bypass prima che possano essere ampiamente utilizzati, il che offre ai produttori di browser e adblocker una preziosa indicazione su dove veicolare i loro sforzi.
Chiaramente, nonostante un sacco di rumore da parte degli sviluppatori sull’aggiunta di sicurezza e sul blocco dei browser e dei plug-in desktop, il fatto che i ricercatori siano stati in grado di individuare punti deboli è un segnale che forse alcuni di questi sforzi non hanno tutti sortito gli effetti desiderati.
Questo non sorprende: far fronte ad ogni tipo di attacco alla privacy e alla sicurezza del browser deve essere un compito spesso scoraggiante. Secondo i ricercatori, perlomeno questa ricerca offre un modo per valutare i progressi futuri rispetto a un’unità di misura oggettiva.
Tuttavia, hanno concluso i ricercatori:
Nel complesso, abbiamo rilevato che le implementazioni dei browser hanno mostrato un comportamento altamente incoerente riguardo all’applicazione di policy su richieste di terze parti, con un conseguente elevato numero di bypass. Ciò dimostra la necessità che i browser, che aggiungono continuamente nuove funzionalità, siano valutati accuratamente.
Un problema non affrontato da questa ricerca è quanto un utente potrà mai aspettarsi da alcuni browser, in particolare Google Chrome, il numero uno al mondo per quota di mercato.
Chrome ha aggiunto una forma di adblocking all’inizio del 2018 ma, come sottolineato dai critici in quel momento, rappresentava un compromesso e secondo alcuni non andava tanto lontano. Purtroppo, l’erosione della privacy attraverso il tracking non è importante solo per gli inserzionisti e i siti Web, ma anche per alcuni produttori di browser.
Lascia un commento