[Turvallisuustieto] Superevästeet voivat rikkoa yksityisyystilan ja silti seurata käyttäjätietoja

Tällä hetkellä kaikki suuret selaimet tarjoavat yksityisyyden suojatilan. Tässä tilassa verkkosivuston evästeet eivät voi seurata käyttäjän henkilöllisyyttä. Esimerkiksi Google Chrome tarjoaa ominaisuuden nimeltä "Incognito", kun taas Firefox tarjoaa "Privacy Window" -ominaisuuden.

Tämä uusi haavoittuvuus kuitenkin aiheuttaa selaimen yksityisyystilan epäonnistumisen. Esimerkiksi, kun käyttäjä käyttää tavallista selainta, käy ostoksilla Amazon.com tai selaa Facebookia, käyttäjä voi avata yksityisyysikkunan selaillakseen kiistanalaista sisältöä sisältävää blogia. Jos blogi käyttää samaa mainosverkostoa kuin Amazon tai integroi Facebookin "Tykkää"-painikkeen, mainostajat ja Facebook voivat tietää, että käyttäjät vierailevat kiistanalaisessa blogissa samaan aikaan Amazonin ja Facebookin kanssa.

Tälle haavoittuvuudelle on olemassa väliaikainen kiertotie, mutta se on hankala: käyttäjät voivat poistaa kaikki evästeet ennen yksityisyystilan aktivoimista tai käyttää erillistä selainta selaamaan kokonaan yksityisyystilassa.

Ironista kyllä, tämä haavoittuvuus johtuu ominaisuudesta, joka on suunniteltu parantamaan yksityisyyden suojaa.

Jos käyttäjä käyttää selaimen osoitepalkissa etuliitettä https:// salatakseen viestintää tietyiltä verkkosivuilta, jotkut selaimet muistavat tämän. Selain tallentaa "superevästeen" varmistaakseen, että seuraavalla kerralla kun käyttäjä yhdistää sivustolle, selain siirtyy automaattisesti https-kanavalle. Tämä muisti säilyy, vaikka käyttäjä olisi ottanut yksityisyystilan käyttöön.

Samaan aikaan tällaiset superevästeet mahdollistavat myös kolmansien osapuolten verkkoohjelmien, kuten mainoksien ja sosiaalisen median painikkeiden, muistaa käyttäjän.

Sam Greenhelgh, riippumaton tutkija, joka löysi haavoittuvuuden, sanoi blogikirjoituksessaan, että tätä ominaisuutta ei vielä käytä mikään yritys. Kuitenkin, kun tämä menetelmä tuli julkiseksi, yrityksiä ei voitu estää tekemästä niin.

Eugene Kuznetsov, verkkotietosuojaohjelmistoyritys Abinen perustaja, uskoo, että tästä "superevästeestä" tulee seuraavan sukupolven seurantatyökalut. Tämä työkalu syntyi evästeistä, mutta siitä tuli entistä kehittyneempi. Tällä hetkellä käyttäjillä on aina yksilöllinen laitetunniste ja ainutlaatuinen selaimen sormenjälki selatessa, joita on vaikea poistaa.

Internetin anonymiteetti on vaikeutunut "superevästeiden" vuoksi. Kuznetsov sanoi: "Olemme nähneet asevarustelukilpailun yksityisyyden suojassa. Halu seurata internetin käyttäjiä on kuin loinen. Kaikki selaimessasi oleva sisältö on verkkosivustojen ja mainostajien tarkkailun kohteena, mikä mahdollistaa paremman seurannan. ”

Mozilla on jo korjannut tämän Firefoxin uusimmassa versiossa, kun taas Google yleensä jättää Chromen sellaiseksi kuin se on. Google tietää jo ongelman "superevästeissä", mutta päättää silti jatkaa Chromen https-muistitoiminnon käyttöönottoa. Turvallisuuden ja yksityisyyden suojan välillä Google on valinnut jälkimmäisen.

Microsoft Internet Explorerilla ei ole tällaista ongelmaa, koska tässä selaimessa ei ole sisäänrakennettua https-muistitoimintoa.

Greenhal sanoi myös, että iOS-laitteissa "superevästeiden" aiheuttama ongelma on olemassa.