Apple bloqueará ciertas webs para evitar que te rastreen en Internet

Escrito por Javier Jiménez

Apple va a bloquear algunas webs en su navegador para evitar que algunas páginas puedan utilizar el estándar HSTS para realmente comprometer la privacidad de los usuarios. Esto es así ya que se podría abusar de este estándar como supercookie y con ello rastrear a los usuarios. Ahora la compañía de la manzana mordida ha introducido cambios en la infraestructura de navegador de código abierto WebKit, que da soporte a Safari.

Apple quiere evitar el posible rastreo de ciertas webs

La razón por la que Apple ha introducido esta novedad es por el descubrimiento de ataques ocurridos hace 3 años contra los usuarios de su navegador. Detrás de estos podría estar el abuso del estándar de seguridad HSTS que hemos mencionado.

HSTS-HTTP es en realidad una característica interesante que permite a las páginas poder redirigir el tráfico del usuario cuando no accede en modo seguro HTTPS. Por ejemplo si un usuario abre por error un link que no esté cifrado.

Hay que mencionar que HSTS no permite que un sitio web almacene cualquier tipo de información en el navegador de los usuarios. Sin embargo sí recuerda la propia acción de redireccionar que hemos mencionado. El objetivo de esto es poder hacerlo automáticamente en el futuro.

Es aquí donde entra en juego la posibilidad de rastrear a los usuarios. Podrían crear una supercookie y ser leída posteriormente por un servidor. En definitiva, hacer un seguimiento del propio usuario que accede a esa web.

Cómo puede una supercookie HSTS rastrear

La manera en la que una supercookie HSTS puede rastrear a un usuario es sencilla. Cada página asigna un número para cada persona que accede a ella. Un número cualquiera que convierte luego a binario.

Posteriormente, para establecer este número binario para un usuario concreto, la web utiliza HSTS para sus subdominios (cada cifra binaria resultante). Sería algo así como: 01.ejemplo.com, 02.ejemplo.com…). Si el HSTS para un subdominio está habilitado, el valor sería 1; si está deshabilitado, 0.

¿Cómo afecta al usuario? Cada vez que accede a esa misma página, de manera invisible se abren píxeles de sus subdominios, que representan los bits en el número binario. Esto indica al servidor cuáles se abren en HTTPS, que sería representado por el 1, y cuáles en HTTP (0).

De esta manera se revela el valor binario exclusivo de cada usuario. Esto permite que puedan ser rastreados.

Ratreo a través del código binario

Dos soluciones al problema

Es por ello que Apple ha introducido dos mitigaciones a su navegador. El objetivo es evitar que sus usuarios puedan ser rastreados a través de este método. La primera mitigación es resolver el problema para establecer supercookies. Los atacantes utilizan largas direcciones con el fin de codificar los dígitos en los subdominios y establecer, de manera general, HSTS en numerosos subdominios a la vez.

Ahora el navegador Safari limitará el estado de HSTS únicamente al nombre del host que se ha cargado o al dominio superior. Esto puede evitar los rastreadores, como hemos mencionado.

Por otra parte, en la segunda mitigación del problema, lo que ha hecho Apple es que su navegador Safari ignore el estado de HSTS para las solicitudes de recursos a dominios bloqueados. Esto hace que las supercookies solamente sean una cadena de bits de sólo ceros.

Fuente > The Hacker News

Últimos análisis

Valoración RZ
5
Valoración RZ
8
Valoración RZ
9
Valoración RZ
8
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10