Descubren un nuevo método para identificar usuarios anónimos en Firefox

Software

La seguridad y el anonimato en la red son factores muy importantes para proteger nuestra integridad y nuestra privacidad. El problema es que hay diversas técnicas que permiten identificar a los usuarios, las cuales se aprovechan de nuevas funciones que integran los navegadores para facilitar la navegación, como ha sido el caso de una de las funciones con las que cuenta Firefox.

Identificación de usuarios a partir de los certificados en Firefox

En concreto, la función afectada es la conocida como CA caching, que guarda los certificados de autenticación intermedios de las páginas web que el usuario visita con el fin de que éstas carguen más rápido. Estas pueden ser recopiladas por páginas web, revelando así información sobre el usuario y sus hábitos únicas de navegación.

firefox-intermediate-ca-caching-fingerprinting

Para demostrar cómo funciona, el usuario que lo descubrió, llamado Alexander Klink, creó esta página web, a la vez que notificó a Mozilla sobre los peligros que podría entrañar. La página web coteja una base de datos de 326 certificados intermedios con los que el usuario tiene almacenados en su navegador. Para ello, la web intenta cargar imágenes de servidores que están mal configurados. Si la imagen carga, eso quiere decir que Firefox tenía guardado en la cache el certificado intermedio. Si no carga, es que no estaba almacenado.

Esto permite que la web vaya comprobando qué certificados tiene el usuario, y extrapolar así qué páginas se han visitado en ese navegador. Aunque es difícil identificar una página web visitada a partir de un certificado, hacer esto es posible para algunas páginas web. El usuario que ha creado la página comprobó por ejemplo que si el usuario tenía en su navegador el certificado de la página web del Parlamento Alemán (Deutsche Bundestag CA), la evidencia indicaba que el usuario muy probablemente vivía en Alemania, hablaba alemán, o que tenía algún interés en la política.

Una técnica más de fingerprinting

Esta información se puede juntar con otra que permitan confinar los parámetros de identificación para usuarios anónimos, utilizando otras técnicas de fingerprinting. Además, es posible colocar en el navegador un grupo de certificados específico con el fin de potenciar las posibilidades de identificación del usuario. Firefox usa la misma cache tanto para la navegación normal como para la privada.

privacidad-usuario-certificado-firefox

Desde Mozilla ya han afirmado que están al tanto del problema, pero no han hecho pública ninguna decisión de qué van a hacer sobre ello. De momento van a analizar la utilidad de la función, y ver si realmente compensa tener una función de este estilo que permita identificar ciertos aspectos de la navegación de sus usuarios.

Un posible método para evitar el almacenamiento de certificados no deseados puede ser utilizar un addon como Request Policy, el cual evitaría la comprobación a discreción como las que se realiza en la web de prueba sobre este concepto que ha realizado el usuario que lo ha descubierto.

Escrito por Alberto García

Fuente > ghacks