Due sviluppatori hanno presentato una “versione” ancor più raffinata delle particolari tecniche che, attraverso l’interazione di una qualunque pagina web con la cronologia dei siti web visitati, conservata dal browser, consentono di stabilire, ad esempio, quali articoli ha letto un utente sui principali siti e quali termini sono stati digitati in un motore di ricerca. I ricercatori, Artur Janc e Lukasz Olejnik, hanno messo a punto del codice JavaScript in grado di estrarre informazioni utili dalla cronologia del browser web ben sei volte più rapidamente rispetto alle metodologie precedentemente impiegate.
Come avevamo precedentemente illustrato (ved. questi articoli), gli attacchi che cercano di far leva sulle informazioni raccolte nella cronologia del browser sono stati battezzati “cascading style sheets history attacks“. Ad essere sfruttata è una caratteristica di tutti i moderni browser web: la visualizzazione dei link visitati con un colore diverso (ad esempio, il violetto anziché il blu). I colori utilizzati per la visualizzazione dei collegamenti ipertestuali, a seconda che questi siano stati visitati o meno, sono definibili intervenendo sui fogli di stile (CSS) di ciascun sito web. Un sito come “WhatTheInternetKnowsAboutYou“, impiegando semplice codice JavaScript, mostra ad esempio quali siti web – tra quelli inseriti in un database gestito dagli autori del sito – sono stati in precedenza visitati dal client collegato.
Ricorrendo a codice JavaScript, è possibile verificare se l’utente abbia o meno consultato una lista di siti web proprio approfittando delle informazioni, sulle pagine web visitate, conservate nella cronologia di ciascun browser.
Il codice ottimizzato dal duo Janc-Olejnik consente di provare ben 30.000 link al secondo controllando così se l’utente ne abbia già visitati alcuni.
Ci sono comunque altri metodi per accedere alla cronologia del browser senza far uso di JavaScript. Tali approcci sfruttando la possibilità di utilizzare i fogli di stile per caricare differenti immagini di sfondo a seconda che un sito web sia stato o meno visitato in precedenza. Un aggressore può “interrogare” la cronologia del browser impiegato dall’utente preparando una pagina HTML “ad hoc” ed osservando quali immagini vengono caricate e quali no.
Secondo Janc e Oblejnik questa seconda metodologia diverebbe agilmente utilizabile nel caso in cui dovesse l’utente avesse impedito l’esecuzione di codice JavaScript.
L’indagine condotta su circa 270.000 utenti ha evidenziato come il 76% di essi fosse vulnerabile agli attacchi “cascading style sheets history“. I due ricercatori hanno poi potuto stabilire come ciascun utente avesse visitato, mediamente, 62 siti web tra le pagine nel loro lungo elenco.
Janc e Oblejnik hanno affermato che si tratta di una problematica che andrebbe ben soppesata, nel prossimo futuro, dai vari produttori di browser web (di recente Mozilla si era espressa sul tema). Agli utenti viene suggerito di ripulire periodicamente la cache del browser in modo da eliminare tutti i dati sui siti web già visitati.