Questo sito contiene link di affiliazione per cui può essere compensato

Home » Hi-Tech » Internet » Una vulnerabilità nei browser rende meno anonima la navigazione anonima

Una vulnerabilità nei browser rende meno anonima la navigazione anonima

Pubblicità

Ricercatori del New Jersey Institute of Technology avvertono gli utenti del web di un potenziale attacco che consente di de-anonimizzare la navigazione ai siti in modalità privata, permettendo di mettere insieme vari dettagli sull’utente collegato in quel momento a un sito, anche quando questo sta navigando in modalità anonima.

I risultati della ricerca verranno presentati il prossimo mese allo Usenix Security Symposium di Boston, evidenziando una tecnica che consiste nel convincere qualcuno a visitare un sito web creato ad hoc e da qui effettuare analisi e ricavare elementi che consentono di identificare con precisione l’utente, tenendo conto di indirizzi email, account sui social media, e altri elementi ancora.

Quando si visita una pagina web, quest’ultima può identificare l’indirizzo IP dell’utente ma questo elemento non offre necessariamente informazioni che consentono di identificare in modo univoco l’utente. L’hack in questione tiene conto di sottili peculiarità nell’attività del browser, stabilendo se l’utente è collegato con gli account di servizi quali YouTube, Dropbox, Twitter, Facebook, TikTok. Il meccanismo di attacco funziona con qualsiasi browser che permette di navigare in modalità anonima, e anche con Tor, browser specificatamente pensato per permettere una navigazione anonima sul web.

“Se siete l’utente medio di internet non vi preoccupate troppo della privacy quando si visitano siti web a caso”, spiega Reza Curtmola, uno degli autori dello studio e computer science professor presso l’NJIT; “ma ci sono alcune categorie di utenti internet, che potrebbero essere fortemente penalizzati da quanto scoperto, ad esempio persone che organizzano e partecipano ad attività politiche, giornalisti e persone in contatto con colleghi di gruppi minoritari”. Ciò che rende questo tipo di attacchi pericolosi è la possibilità di attivarli in modo furtivo, invisibile: si visita un sito web e non si ha semplicemente idea di essere stato esposti”.

Spectre e ZombieLoad sono l’inizio, non la fine delle vulnerabilità dei processori

Per ottenere determinate informazioni – spiega Wired – l’attacker ha bisogno di un sito, un elenco di account di persone da identificare come visitatori del sito-esca, e riferimenti a contenuti già pubblicati sulle varie piattaforme dagli account nell’elenco dei bersagli; l’attacker integra il contenuto-esca nel sito e aspetta di vedere chi clicca; se una persona che fa parte dell’elenco degli obiettivi visita il sito, gli aggressori riescono a individuare l’identità analizzando quali utenti possono (o non possono) visualizzare il contenuto incorporato, risalendo all’identità.

La debolezza riguarda i meccanismi di embedding sfruttati da servizi quali Google Drive e affini. Quando dei visitatori tentano ad esempio di caricare una foto tramite Google Drive, gli aggressori sono in grado dedurre con precisione se l’utente è autorizzato ad accedere al contenuto, e quindi se ha il controllo dell’indirizzo e-mail in questione. Secondo i ricercatori, è possibile addestrare algoritmi di apprendimento automatico analizzando dati apparentemente non correlati sul modo in cui il browser e il dispositivo della vittima elaborano le richieste; una volta che l’aggressore comprende che l’utente con il quale ha a che fare ha il permesso di visualizzare il contenuto (o che l’utente a cui è stata negata la visualizzazione non è riuscito a vederlo) può determinare l’identità del visitatore del sito.

Le possibili contromisure sono complicate; i ricercatori hanno sviluppato un’estensione per Chrome e Firefox che dovrebbe contrastare questa tipologia di attacchi ma evidenziano che potrebbe avere impatto sulle prestazioni. Sono stati ad ogni modo allertati vari organismi e he si occupano degli standard del web per capire come affrontare il problema in modo più ampio e mettere a punto soluzioni efficaci.

Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione del nostro sito.

Offerte Apple e Tecnologia

Le offerte dell'ultimo minuto le trovi nel nostro canale Telegram

Black Friday

BOZZA PER LISTONE BLACK FRIDAY NON TOCCARE - macitynet.it

Per trovare le migliori occasioni di Black Friday Week, BlackFriday e CyberMonday: visitate la nostra pagina con tutte le offerte Black Friday costantemente aggiornata con tutte le news pubblicate e iscrivetevi ai nostri 2 canali telegram Offerte Tech e Oltre Tech per le offerte lampo e le offerte WOW che sono diverse ogni giorno e durano 16 ore.

Consultate il banner in alto nelle pagine di Macitynet sia nella versione mobile che desktop: vi mostreremo a rotazione gli sconti top.

Dalla 00.00 del 21 Novembre fino alla mezzanotte del 2 Dicembre vi mostriamo tutti i prodotti delle selezioni Apple, monitor, SDD etc. Nel corso delle ore anche l'elenco qui sotto si popolerà con i link agli articoli principali divisi per categorie.

Nota: I prezzi riportati in verde nelle offerte Amazon sono quelli realmente scontati e calcolati rispetto ai prezzi di listino oppure alla media dei prezzi precedenti. Il box Amazon riporta normalmente gli sconti rispetto al prezzo medio dell'ultimo mese o non riporta affatto lo sconto. Le nostre segnalazioni rappresentano una convenienza di acquisto e comunque controllate sempre il prezzo nella pagina di arrivo. Segnaliamo anche offerte dirette delle aziende.

Apple

Video, Foto, Creatività

Audio

Smartphone e Accessori

Accessori computer 

Software

Domotica

Casa, Cucina e Giardinaggio

Sport e attività all'aperto, Salute

Prodotti Amazon e settori di offerte

Pubblicità

Ultimi articoli

Pubblicità