Abusando de las ‘HTTP Strict Transport Security’ (HSTS) supercookies para el seguimiento sin cookies

Tabla de Contenidos

• Los sitios web podrían usar una función de seguridad de tu iPhone/iPad para rastrear tu navegación incluso si borras el historial del navegador.
• Actualización

Los sitios web podrían usar una función de seguridad de tu iPhone/iPad para rastrear tu navegación incluso si borras el historial del navegador.

Es un consejo bien observado asegurarte de que estás utilizando una conexión segura cada vez que visitas un sitio web donde podrías compartir información sensible o personal. Cuando visitas un sitio web con una conexión segura, tu navegador web muestra un ícono de candado. El ícono indica que tu conexión al sitio está encriptada y no puede ser interferida o interceptada.

Demostración

`` …
Este es un valor único que fue generado por JavaScript en esta página. La página intenta almacenar este valor en tu navegador web y leerlo nuevamente cuando visites la página en el futuro. Los diferentes navegadores web no se comportan exactamente de la misma manera. Para ver cómo se comporta tu navegador, prueba estas pruebas y verifica si el valor se mantiene igual: - Actualiza la página. - Abre la misma dirección web en una ventana “privada”/”incógnito”. - Borra las cookies de tu navegador y actualiza la página. - Visita la página en un dispositivo iOS diferente, sincronizado con la misma cuenta de iCloud. Si el valor se mantiene igual durante cualquiera de estos pasos, esta técnica podría ser utilizada para rastrear tus hábitos de navegación. Este es un valor único que fue generado por JavaScript en esta página. La página intenta almacenar este
valor en tu navegador web y leerlo nuevamente cuando visites la página en el futuro. Una función de seguridad de los navegadores web modernos llamada “HTTP Strict Transport Security” (HSTS) permite que un sitio web indique que siempre debe ser accedido utilizando una conexión segura. Si visitas un sitio que tiene HSTS habilitado, tu navegador web recordará esta bandera y asegurará que la conexión sea segura cada vez que visites el sitio web en el futuro. Las visitas posteriores al sitio sin usar una conexión segura son redirigidas automáticamente por el navegador web a la variante segura de la dirección web, comenzando con https:// Esta redirección automática protege tu acceso al sitio de ser interceptado, pero también podría ser abusada por un sitio malicioso para almacenar un número único para rastrear tu navegador web. Un número puede ser codificado como una serie de bits (valores verdaderos y falsos) y almacenado accediendo a un conjunto de direcciones web. Cada dirección web responde con HSTS habilitado o deshabilitado dependiendo de la dirección. Una vez que el número está almacenado, podría ser leído por otros sitios en el futuro. Leer el número solo requiere probar si las solicitudes para las mismas direcciones web son redirigidas o no. Usar HSTS para rastrear tus hábitos de navegación evade las características de los navegadores web diseñadas para controlar mecanismos de seguimiento más normales basados en “cookies”. Usar modos “incógnito” o “privados” significa que las cookies existentes no se compartirán con los sitios que visitas. Los navegadores también te permiten eliminar completamente las cookies que podrían ser utilizadas para rastrearte. Debido a que HSTS es una función de seguridad y no está destinada a ser utilizada para el seguimiento, los navegadores web la tratan de manera diferente a las cookies. Solo mediante una mala aplicación intencional HSTS puede ser explotado para rastrear a los usuarios. Algunos navegadores como Google Chrome, Firefox y Opera mitigan el problema. Borrar cookies en estos navegadores también borra las banderas HSTS, por lo que cualquier valor almacenado será eliminado. Sin embargo, a diferencia de las cookies, las banderas HSTS existentes aún se comparten con los sitios al usar ventanas “incógnitas” o “privadas”. El impacto es que es posible que un sitio te rastree incluso si eliges usar funciones de navegación “incógnita” o “privada” en un esfuerzo por evitar dicho rastreo. Mucho más preocupante es el comportamiento mostrado por Safari, el navegador predeterminado para iPad y iPhone. Al usar Safari en un dispositivo Apple, parece no haber forma de que las banderas HSTS puedan ser borradas por el usuario. Las banderas HSTS incluso se sincronizan con el servicio iCloud, por lo que serán restauradas si el dispositivo es borrado. En este caso, el dispositivo puede ser efectivamente “marcado” con un valor de seguimiento indeleble que no tienes forma de eliminar. Una notable excepción es Internet Explorer, que no tiene soporte para HSTS (aunque está en desarrollo en el momento de escribir esto), por lo que no es vulnerable a esta técnica. Inicialmente pensé que esta no era una vía que se había explorado previamente. Sin embargo, Mikhail Davidov escribió sobre el posible uso indebido de HSTS en abril de 2012, aunque no estoy al tanto de ninguna respuesta directa a sus observaciones por parte de los proveedores de navegadores. No estoy al tanto de que la técnica se esté utilizando para rastrear usuarios en la naturaleza, aunque eso no quiere decir que no lo esté. Me gustaría contactar al resto de la comunidad técnica para considerar cómo podría mitigarse esto mientras se obtiene tanto valor de HSTS como sea posible. Si deseas ponerte en contacto respecto a esta información, por favor envíame un correo a [email protected]. ## Actualización 4 de enero de 2015 Los miembros del equipo de seguridad de Google Chrome han tenido la amabilidad de resaltar las discusiones que han llevado a una serie de parches y reversiones en la base de código de chromium en un intento de mitigar los efectos del problema que este artículo demuestra. Puedes leer más aquí y aquí. En última instancia, concluyen que hay un compromiso necesario entre seguridad y privacidad. La FAQ de seguridad de chromium continúa diciendo que “derrotar tal huella dactilar probablemente no sea práctico sin cambios fundamentales en cómo funciona la Web”. El análisis técnico de los mecanismos de identificación de clientes habla sobre la posibilidad de esta técnica, junto con muchas otras, diciendo “En un intento de equilibrar seguridad y privacidad, cualquier pin HSTS establecido durante la navegación normal se lleva a modo incógnito en Chrome; sin embargo, no hay propagación en la dirección opuesta”. Este artículo ha sido publicado con el permiso de Sam Greenhalgh en su totalidad. También puedes leer el artículo completo en Radical Research.