Значки сайтов в браузере могут использоваться для отслеживания пользователей

Исследователи безопасности из Иллинойского университета обнаружили новый способ отслеживания пользователей в интернете. Он применяется во время веб-серфинга и работает даже тогда, когда пользователи очищают файлы cookie и кэш браузера. В документе говорится о файлах Favicon, которые могут использоваться наряду с так называемым цифровым отпечатком устройства.

Файл Favicon (или фавикон) используется сайтом для отображения маленького значка в адресной строке браузера, в избранном, открытых вкладках и прочих местах. По сути, это иконки сайтов, которые кэшируются браузером, но хранятся отдельно от других элементов. Пользователи, которые используют встроенные функции для очистки кэша, должны знать о том, что эта процедура удаляет все сохранённые веб-элементы, кроме иконок сайтов. Другими словами, фавиконы сохраняются на компьютере даже при удалении кэша и в режиме инкогнито.

Браузеры автоматически находят и кэшируют файлы Favicon, а сайты могут использовать строку кода для указания своего значка. Одной иконки недостаточно, чтобы идентифицировать пользователя, но исследователи обнаружили способ, который позволяет разместить несколько файлов в кэше значков. Сайт выполняет серию перенаправлений через несколько поддоменов, чтобы сохранить разные варианты значков в кэше. Каждый из них создает собственную запись, и все они вместе могут использоваться для идентификации пользователей при условии, что на компьютере будет сохранено достаточное количество файлов Favicon. Перенаправления происходят без какого-либо взаимодействия с пользователем, поскольку всё контролируется сайтом.

Исследователи протестировали этот метод на нескольких браузерах на базе Chromium, таких как Google Chrome, Brave, Safari, Microsoft Edge, и обнаружили, что все они уязвимы для проведения атаки. Данный способ не работает на Firefox — появляется ошибка при чтении кэша значков. Это тот редкий случай, когда баг браузера работает во благо, но после исправления Firefox, вероятно, также будет уязвим. Согласно исследованию, атака занимает немного времени, но её можно ещё ускорить с помощью определённых оптимизаций.

У авторов исследования есть несколько вариантов решения этой проблемы, но все они требуют, чтобы разработчики браузеров изменили функциональность, связанную с Favicon.