- Los investigadores han descubierto una falla en los navegadores Firefox y Tor que permite a los sitios web crear identificadores estáticos ocultos sin cookies.
- El problema surge del comportamiento de IndexDDB, que permite la toma de huellas digitales persistente incluso en navegación privada o en el modo de “nueva identidad” de Tor.
- Mozilla y Tor parchearon rápidamente la vulnerabilidad con correcciones incluidas en Firefox 150 y Tor Browser 15.0.10.
Los navegadores como Mozilla Firefox y Tor tienen una vulnerabilidad en la que los sitios web pueden generar una identificación oculta a partir de una sesión del navegador sin utilizar cookies u otros métodos de seguimiento obvios.
La vulnerabilidad fue descubierta por los investigadores de seguridad de huellas dactilares Dai Nguyen y Martin Bajanik. En un informe en profundidad publicado a principios de esta semana, el dúo dijo que el problema permitió a los sitios web derivar un “identificador único, determinista y estable de la duración del proceso” de la secuencia de entradas devueltas por IndexedDB, incluso si los usuarios esperaban un “fuerte aislamiento”.
IndexedDB es una base de datos integrada en el navegador que permite a los sitios web almacenar grandes cantidades de datos estructurados (como archivos o datos de aplicaciones) directamente en el dispositivo. Permite que las aplicaciones web funcionen más rápido e incluso sin conexión sin hablar constantemente con el servidor. Sin embargo, cuando un sitio solicita al navegador una lista de elementos almacenados en caché, el orden de esa lista no es aleatorio. En cambio, refleja el comportamiento interno del navegador, lo que puede dar como resultado una huella digital única.
El artículo continúa a continuación.
Navegación privada
Si bien esto suena mal para los usuarios más orientados a la privacidad, empeora ya que la vulnerabilidad persiste incluso cuando se utiliza el modo de navegación privada.
“En el modo de navegación privada de Firefox, el identificador puede persistir incluso después de cerrar todas las ventanas privadas, siempre y cuando el proceso de Firefox esté en ejecución”, explicaron los investigadores. “En el navegador Tor, los identificadores estáticos también persisten a través de la función de “nueva identidad”, que está diseñada para realizar un reinicio completo que borra las cookies y el historial del navegador y utiliza el nuevo circuito Tor”.
Fingerprint reveló diligentemente el problema tanto a Mozilla como al Proyecto Tor, y rápidamente se lanzaron parches. Mozilla solucionó este problema en Firefox 150 y ESR 140.10.0, rastreando el parche hasta Mozilla Bug 2024220. Tor lo solucionó indirectamente, aplicando la solución de Mozilla. Según los informes disponibles, la versión 15.0.10 del navegador Tor contiene la misma actualización de seguridad que solucionó el problema en Mozilla Firefox.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
