Huella digital: las hojas de estilo en cascada dejan a los usuarios vulnerables al seguimiento

Tipo de procesador, dirección IP, navegador en uso, fuentes instaladas: al recopilar estas y otras características de la configuración del navegador y el sistema operativo subyacente, es posible crear un perfil de usuarios muy detallado y, en algunos casos, incluso único. Este fenómeno se conoce como huella digital del navegador.

A estudiar El investigador de CISPA Leon Trampert y sus colegas sugieren ahora que este método de seguimiento se puede aplicar no sólo al navegar por la web sino también en los correos electrónicos, a través de un método previamente poco explorado: el uso de CSS (hojas de estilo en cascada), marcado para diseñar sitios web.

Incluso entre un grupo grande de visitantes de un sitio web, es probable que usted sea identificable de manera única. ¿Por qué? Dondequiera que se utilice el lenguaje de programación JavaScript, que es prácticamente toda la web, también se pueden recopilar atributos específicos de sus dispositivos y sus configuraciones. Estos detalles están destinados principalmente a ayudar a los desarrolladores web a crear mejores experiencias y funcionalidades para el usuario.

Pero, como siempre, el conocimiento es poder y no todos quieren que este conocimiento sobre ellos esté en el mundo.

«Hoy en día, la toma de huellas dactilares a través de JavaScript es bastante conocida. Las personas especialmente preocupadas por la privacidad pueden protegerse bloqueando JavaScript. Esto se puede hacer con complementos o utilizando el navegador Tor. Esto puede ser útil, por ejemplo, para periodistas que temen ser perseguidos. «, explica León Trampert.

CSS moderno filtra datos

Cuando una puerta se cierra, otra se abre, y lo mismo parece aplicarse a las huellas dactilares. «Los investigadores descubrieron recientemente que la información sobre los usuarios también puede filtrarse mediante el uso de CSS», afirma Trampert. CSS (abreviatura de hojas de estilo en cascada) garantiza que el texto, las imágenes y los menús se muestren correctamente, determina las fuentes, los colores y los tamaños de los elementos en los sitios web y permite que las vistas se adapten a diferentes tamaños de pantalla.

«CSS se ha vuelto cada vez más popular y ha adquirido muchas funciones nuevas en los últimos años. Algunas de ellas ya han sido analizadas por colegas investigadores por su potencial de violar la privacidad. Sin embargo, aún faltaba una revisión holística».

Por eso, hace unos meses, Trampert decidió estudiar sistemáticamente las funciones CSS modernas. «Queríamos ver cuánto podíamos descubrir con él y si CSS también permite el seguimiento fuera de la web».

Fuentes reveladoras

Trampert examinó múltiples enfoques de toma de huellas dactilares e identificó tres técnicas para crear huellas dactilares de usuario utilizando CSS.

«Primero analizamos 1.176 combinaciones de navegadores y sistemas operativos con distintas configuraciones y pudimos deducir el sistema de los usuarios en el 97,95% de los casos. Las fuentes instaladas, por ejemplo, pueden ser reveladoras. Proporcionan pistas sobre el navegador, el sistema operativo y programas instalados», explica Trampert.

Los investigadores identificaron las fuentes con algunos trucos. «No podemos ver esta información en texto plano, pero podemos, por ejemplo, medir la altura y el ancho de las palabras aprovechando ciertas funciones CSS que de otro modo serían útiles. De esto, podemos deducir no sólo la fuente sino también el idioma del sistema, » dice Trampert.

CSS permite el seguimiento más allá de la web

Aún más emocionante para él fue probar aplicaciones de correo electrónico. Si bien JavaScript suele estar bloqueado de forma predeterminada en muchos clientes de correo electrónico, el uso de CSS sigue estando prácticamente libre de restricciones.

«Probamos 21 clientes de correo electrónico, incluidos Android, iOS, escritorio y clientes basados ​​en la web. En nueve casos, pudimos aplicar todas nuestras técnicas con éxito y recopilar información sobre los usuarios. Dieciocho de los 21 clientes de correo electrónico eran vulnerables al menos al menos una de las técnicas», explica Trampert.

Según Trampert, esto podría abrir escenarios de amenaza completamente nuevos. «Por ejemplo, los ataques podrían tener como objetivo vincular las sesiones web de los visitantes con sus cuentas de correo electrónico o identificar todas las direcciones de correo electrónico de usuarios específicos», explica.

¿Y ahora qué?

Cualquiera que navegue por la web ya está siendo medido involuntariamente debido a las cookies de seguimiento y JavaScript.

«Sin embargo, es importante demostrar qué posibilidades técnicas existen y dónde surgen nuevas oportunidades de abuso, como se ve aquí, de repente incluso en los programas de correo electrónico. Sólo entonces podremos desarrollar mecanismos de defensa sólidos», afirma Trampert.

El doctorado. El estudiante realiza investigaciones en CISPA, supervisadas por el Dr. Michael Schwarz y el Prof. Dr. Christian Rossow, profesores de CISPA, y tiene la intención de continuar trabajando en cuestiones de seguridad del correo electrónico en el futuro.

Proporcionado por el Centro CISPA Helmholtz para la Seguridad de la Información