[Säkerhetskunskap] Supercookies kan bryta integritetsläget och ändå spåra användarinformation

För närvarande erbjuder alla större webbläsare ett integritetsskyddsläge. I detta läge kan webbplatscookies inte spåra användarens identitet. Till exempel erbjuder Google Chrome en funktion som kallas "Inkognito", medan Firefox erbjuder en funktion "Integritetsfönster".

Denna nyupptäckta sårbarhet kommer dock att göra att webbläsarens integritetsläge fallerar. Till exempel, när en användare använder en vanlig webbläsare, handlar på Amazon.com eller surfar på Facebook, kan användaren öppna ett integritetsfönster för att bläddra i en blogg med kontroversiellt innehåll. Om bloggen använder samma annonsnätverk som Amazon eller integrerar Facebooks "Gilla"-knapp, kan annonsörer och Facebook veta att användare besöker den kontroversiella bloggen samtidigt som Amazon och Facebook.

Det finns en tillfällig lösning på denna sårbarhet, men den är krånglig: användare kan radera alla cookies innan de aktiverar integritetsläget, eller använda en dedikerad webbläsare för att surfa helt i integritetsläge.

Ironiskt nog orsakas denna sårbarhet av en funktion som är utformad för att stärka integritetsskyddet.

Om en användare använder ett prefix https:// i webbläsarens adressfält för att kryptera kommunikation från vissa webbplatser, kommer vissa webbläsare att minnas detta. Webbläsaren sparar en "supercookie" för att säkerställa att nästa gång användaren ansluter till webbplatsen, går webbläsaren automatiskt in i https-kanalen. Detta minne kommer att finnas kvar även om användaren har aktiverat sekretessläge.

Samtidigt tillåter sådana supercookies också att tredjepartswebbprogram, såsom annonser och sociala medieknappar, kan komma ihåg användaren.

Sam Greenhelgh, den oberoende forskaren som upptäckte sårbarheten, sade i ett blogginlägg att denna funktion ännu inte används av något företag. Men efter att denna metod blev offentlig fanns det inget sätt att stoppa företagen från att göra det.

Eugene Kuznetsov, medgrundare av online-integritetsmjukvaruföretaget Abine, tror att denna "supercookie" kommer att bli nästa generations spårningsverktyg. Detta verktyg föddes ur kakor, men blev mer sofistikerat. För närvarande har användare alltid en unik enhetsidentifierare och ett unikt webbläsarfingeravtryck under surfning, vilka är svåra att radera.

Internetanonymitet har blivit svårare på grund av förekomsten av "supercookies". Kuznetsov sade: "Vi har sett ett kapprustningsrace om integritetsskydd. Viljan att spåra internetanvändare är som en parasit. Allt i din webbläsare granskas noggrant av webbplatser och annonsörer, vilket möjliggör mer spårning. ”

Mozilla har redan fixat detta i den senaste versionen av Firefox, medan Google tenderar att låta Chrome vara som det är. Google känner redan till problemet med "supercookies", men väljer ändå att fortsätta aktivera Chromes https-minnesfunktion. Mellan säkerhet och integritetsskydd har Google valt det förstnämnda.

Microsoft Internet Explorer har inte ett sådant problem, eftersom denna webbläsare inte har en inbyggd https-minnesfunktion.

Greenhal sade också att på iOS-enheter finns även problemet orsakat av "supercookies".