Secondo il developer tedesco che l’ha scoperto, tutti i browser sono vulnerabili.

I dati sono il nuovo oro. Oggi, le aziende fanno di tutto per ottenere dati sulle persone che navigano su Internet, per capire cosa fanno, quali sono i loro interessi e che predisposizione hanno rispetto a un certo acquisto.

Finora, ci sono riuscite soprattutto grazie ai cookie, quei piccoli file che i browser salvano sui computer degli utenti e che registrano migliaia di informazioni sulla loro attività online. Tra questi, ci sono i cookie di terze parti, ovvero di soggetti diversi dal sito web visitato dall’utente, che permettono di incrociare i dati e stilare un profilo molto preciso di ogni persona.

Dal 2022 però, Google ritirerà i cookie di terze parti da Chrome, in linea con quanto fatto da altri sviluppatori come Apple per adeguarsi al GDPR e alle nuove normative internazionali sulla privacy. Ma allora, ci si chiede, come funzionerà la pubblicità online in futuro? Che altri modi ci sono per tracciare i movimenti online di una persona?

Una risposta parziale sembra arrivare da un giovane sviluppatore tedesco, Jonas Strehle, che afferma di aver scoperto una vulnerabilità dei browser legata alle favicon. Il sistema di richiesta e lettura di queste icone permetterebbe ai server web di capire chi è il visitatore e cosa fa online. Andiamo a vedere in dettaglio in cosa consiste questa scoperta e quali sono i rischi!

Cosa significa tracciare le persone online

Tracciare o monitorare l’attività di una persona online significa due cose:

  • Identificarla tramite un codice univoco.
  • Registrare i suoi spostamenti online: cosa fa, cosa visita, quanto dura ogni azione e così via.

I cookie e gli altri metodi di tracciamento digitale consentono di raccogliere tantissimi dati, che poi vengono interpretati e convertiti in metriche, come il tempo di permanenza su una pagina web o il numero di sottodomini visitati. In questo modo, un’azienda come Google può creare un profilo dettagliato della persona e capire se, ad esempio, sta cercando una nuova macchina fotografica, che modelli le piacciono e quanto è disposta a spendere. Così, può inviarle annunci mirati, che saranno evidentemente molto più persuasivi rispetto alla semplice esposizione a una pubblicità casuale.

Attraverso il monitoraggio delle attività online, inoltre, i siti Internet capiscono come si spostano i visitatori sul sito, cosa cercano e come lo trovano. Tutte queste informazioni vengono utilizzate per migliorare l’esperienza utente, ovvero rendere il sito più facile e piacevole da navigare.

Il problema a livello di privacy consiste nell’identificazione stessa della persona, perché in teoria la navigazione su Internet è pensata per essere anonima. Inoltre, grazie ad esempio ai cookie di terze parti, le aziende condividono dati tra diverse reti, per cui quando visiti un sito questo può sapere già molte cose su di te.

VPN GRATIS

Altri modi di tracciare le persone a parte i cookie di terze parti

La mossa di Google non deve trarci in inganno: anche senza i cookie di terze parti le aziende e le reti pubblicitarie hanno altri strumenti per tracciare i nostri spostamenti online, come i file Local storage e Session storage, Service worker o il nuovo strumento a cui sta lavorando Google: Privacy Sandbox.

Tuttavia, le interazioni tra i componenti software dei browser, dei siti web e degli altri servizi online (come le app) sono talmente tante che non stupisce che anche uno teoricamente innocuo come un’icona possa convertirsi in una falla di sicurezza.

Che cosa sono le favicon

La parola inglese favicon nasce dall’unione di favorite e icon, e significa “icone dei preferiti”. Le favicon sono quelle piccole icone con il logo del sito (ad esempio la F di Facebook), che vengono visualizzate nelle intestazioni delle schede del browser, nelle pagine dei Preferiti e nella cronologia di navigazione su quasi tutti i browser moderni. Queste icone hanno dimensioni ridottissime, appena 16 x 16 o 32 x 32 pixel e servono per aiutare l’utente a localizzare velocemente le pagine web sul browser.

Trattandosi di elementi così piccoli e che devono essere caricati molto velocemente, le favicon vengono memorizzate in una cartella separata dalla cache. Quando il browser si connette a un sito richiede la favicon e se questa è presente nella cartella, viene caricata; altrimenti il sito riceve una richiesta e la invia ex novo.

Come le favicon permettono di monitorare la navigazione

La vulnerabilità (che non è ancora stata trovata in the wild, ma solo teorizzata) riguarda le richieste di caricamento delle favicon inviate dal browser. Tramite l’archiviazione delle informazioni di queste richieste e i dati associati alle favicon salvate nella cartella locale, Strehle ha dimostrato che è possibile creare un ID univoco di ciascun browser (prova la demo).

Ogni volta che il browser comunica con il sito, questo può salvare dei dati che, ricostruiti nel tempo, creano un profilo dell’utente. Questo profilo non è dettagliato e ricco come quelli creati con i cookie, ma è pur sempre un metodo di raccolta indebita dei dati, per cui non è stato richiesto il consenso all’utente.

Come impedire la raccolta di dati

Impedire del tutto ai siti di raccogliere dati sulla nostra attività online è impossibile, ma disattivando cookie persistenti, supercookie e altre funzionalità pericolose dei browser, possiamo arginare il problema.

Per quanto riguarda il tracciamento mediante favicon, invece, sembra che non ci sia niente da fare, perché la routine è parte integrante del funzionamento dei browser. Contrariamente a quanto avviene con la cache, i cookie e la cronologia di navigazione (che possono essere eliminate), non possiamo modificare il comportamento del browser e il modo in cui scrive, richiede e legge le favicon dei siti, né possiamo schermarci da questa funzione utilizzando una VPN.

Resta quindi da aspettare che gli sviluppatori delle varie software house interessate prendano in considerazione questo problema e valutino se correggerlo con un aggiornamento. Nel frattempo, ti consigliamo di intervenire dove puoi seguendo i nostri consigli per migliorare la tua privacy online:

Buona navigazione e buona protezione della privacy online!