[Γνώση ασφάλειας] Τα σούπερ cookie μπορούν να σπάσουν τη λειτουργία απορρήτου και να συνεχίσουν να παρακολουθούν τις πληροφορίες χρήστη

Επί του παρόντος, όλα τα μεγάλα προγράμματα περιήγησης προσφέρουν λειτουργία προστασίας απορρήτου. Σε αυτήν τη λειτουργία, τα cookies ιστότοπου δεν μπορούν να παρακολουθήσουν την ταυτότητα του χρήστη. Για παράδειγμα, το Google Chrome προσφέρει μια λειτουργία που ονομάζεται "Ανώνυμη περιήγηση", ενώ ο Firefox προσφέρει μια λειτουργία "Παράθυρο απορρήτου".

Ωστόσο, αυτή η ευπάθεια που ανακαλύφθηκε πρόσφατα θα προκαλέσει την αποτυχία της λειτουργίας απορρήτου του προγράμματος περιήγησης. Για παράδειγμα, όταν ένας χρήστης χρησιμοποιεί ένα κανονικό πρόγραμμα περιήγησης, ψωνίζει στο Amazon.com ή περιηγείται στο Facebook, ο χρήστης μπορεί να ξεκινήσει ένα παράθυρο απορρήτου για να περιηγηθεί σε ένα ιστολόγιο με αμφιλεγόμενο περιεχόμενο. Εάν το ιστολόγιο χρησιμοποιεί το ίδιο δίκτυο διαφημίσεων με το Amazon ή ενσωματώνει το κουμπί "Like" του Facebook, τότε οι διαφημιστές και το Facebook μπορούν να γνωρίζουν ότι οι χρήστες επισκέπτονται το αμφιλεγόμενο ιστολόγιο ταυτόχρονα με το Amazon και το Facebook.

Υπάρχει μια προσωρινή λύση για αυτήν την ευπάθεια, αλλά είναι δυσκίνητη: οι χρήστες μπορούν να διαγράψουν όλα τα cookies πριν ενεργοποιήσουν τη λειτουργία απορρήτου ή να χρησιμοποιήσουν ένα αποκλειστικό πρόγραμμα περιήγησης για να περιηγηθούν πλήρως στη λειτουργία απορρήτου.

Κατά ειρωνικό τρόπο, αυτή η ευπάθεια προκαλείται από μια δυνατότητα που έχει σχεδιαστεί για να βελτιώνει την προστασία του απορρήτου.

Εάν ένας χρήστης χρησιμοποιεί ένα πρόθεμα https:// στη γραμμή διευθύνσεων του προγράμματος περιήγησης για την κρυπτογράφηση των επικοινωνιών από συγκεκριμένους ιστότοπους, ορισμένα προγράμματα περιήγησης θα το θυμούνται αυτό. Το πρόγραμμα περιήγησης αποθηκεύει ένα "σούπερ cookie" για να διασφαλίσει ότι την επόμενη φορά που ο χρήστης θα συνδεθεί στον ιστότοπο, το πρόγραμμα περιήγησης εισέρχεται αυτόματα στο κανάλι https. Αυτή η μνήμη θα διατηρηθεί ακόμα και αν ο χρήστης έχει ενεργοποιήσει τη λειτουργία απορρήτου.

Ταυτόχρονα, τέτοια σούπερ cookies επιτρέπουν επίσης σε προγράμματα ιστού τρίτων, όπως διαφημίσεις και κουμπιά μέσων κοινωνικής δικτύωσης, να θυμούνται τον χρήστη.

Ο Sam Greenhelgh, ο ανεξάρτητος ερευνητής που ανακάλυψε την ευπάθεια, δήλωσε σε μια ανάρτηση ιστολογίου ότι αυτή η δυνατότητα δεν χρησιμοποιείται ακόμη από καμία εταιρεία. Ωστόσο, μετά τη δημοσιοποίηση αυτής της μεθόδου, δεν υπήρχε τρόπος να σταματήσουν οι εταιρείες να το κάνουν.

Ο Eugene Kuznetsov, συνιδρυτής της εταιρείας λογισμικού απορρήτου στο διαδίκτυο Abine, πιστεύει ότι αυτό το «σούπερ cookie» θα γίνει η επόμενη γενιά εργαλείων παρακολούθησης. Αυτό το εργαλείο γεννήθηκε από μπισκότα, αλλά έγινε πιο εξελιγμένο. Επί του παρόντος, οι χρήστες έχουν πάντα ένα μοναδικό αναγνωριστικό συσκευής και ένα μοναδικό δακτυλικό αποτύπωμα του προγράμματος περιήγησης κατά την περιήγηση, τα οποία είναι δύσκολο να διαγραφούν.

Η ανωνυμία στο διαδίκτυο έχει γίνει πιο δύσκολη λόγω της ύπαρξης των «σούπερ cookies». Ο Κουζνέτσοφ είπε: «Έχουμε δει μια κούρσα εξοπλισμών για την προστασία της ιδιωτικής ζωής. Η επιθυμία παρακολούθησης των χρηστών του Διαδικτύου είναι σαν παράσιτο. Οτιδήποτε στο πρόγραμμα περιήγησής σας ελέγχεται εξονυχιστικά από ιστότοπους και διαφημιστές, επιτρέποντας περισσότερη παρακολούθηση. ”

Η Mozilla το έχει ήδη διορθώσει στην τελευταία έκδοση του Firefox, ενώ η Google τείνει να αφήνει τον Chrome ως έχει. Η Google γνωρίζει ήδη το πρόβλημα με τα "super cookies", αλλά εξακολουθεί να επιλέγει να συνεχίσει να ενεργοποιεί τη λειτουργία μνήμης https του Chrome. Μεταξύ ασφάλειας και προστασίας απορρήτου, η Google επέλεξε το πρώτο.

Ο Microsoft Internet Explorer δεν έχει τέτοιο πρόβλημα, επειδή αυτό το πρόγραμμα περιήγησης δεν διαθέτει ενσωματωμένη λειτουργία μνήμης https.

Ο Greenhal είπε επίσης ότι στις συσκευές iOS υπάρχει και το πρόβλημα που προκαλείται από τα «super cookies».