Los investigadores de FingerPrint dijeron que una vulnerabilidad llamada Scheme flooding tiene como objetivo acceder a información sobre las actividades de navegación de los usuarios. Los navegadores objetivo son Google Chrome, Mozilla Firefox, Microsoft, Safari e incluso el navegador web Tor del proveedor de sesión anónimo.
Los proveedores de seguridad afirmaron que la técnica permite a los actores malintencionados ver los sitios que visitan los usuarios cuando cambian de aplicación y cuando se usa la VPN o el modo de incógnito.
Tales actividades pueden terminar mal. Por ejemplo, “un sitio puede detectar a un funcionario gubernamental o militar en Internet en función de sus aplicaciones instaladas y el historial de navegación asociado que debe ser anónimo”.
La vulnerabilidad permite rastrear a las personas cuando cambian de navegador web, por lo que se pueden registrar todas sus respuestas e incluso se puede crear una nueva en la lista. Incluso puede ser posible rastrear las aplicaciones y ver la ruta completa de las actividades en línea.
Durante una investigación antifraude, se notó que la versión de escritorio de Tor, Safari, Chrome y Firefox se vieron afectados por este error. Esta falla usa la información sobre las aplicaciones instaladas en el sistema. Asigna una identidad permanente al usuario incluso cuando cambia de navegador, usa VPN o modo incógnito durante la sesión.
La explotación de este error se presenta en etapas que incluyen la preparación de esquemas de URL, la adición de un script del sitio web en particular, la creación de un identificador permanente y único entre navegadores y el uso de algoritmos que pueden usar los datos de las aplicaciones instaladas y adivinar la ocupación, el interés y la antigüedad del sitio web. usuario.
El error perfila al usuario según las aplicaciones instaladas en el sistema. Por lo tanto, el esquema de inundación puede apuntar a los usuarios con anuncios sin permiso. Sus hábitos, ocupación y edad pueden ser utilizados por actores malintencionados e incluso criminales.
Los investigadores afirman que estaban al tanto de la falla y planean corregirla. Unos días antes de que se revelara la vulnerabilidad, Google agregó medidas de prevención para que los usuarios eviten el seguimiento de los usuarios al aislar el contenido incrustado de la interacción del sitio web.
Konstantin Darutkin, el investigador que analizó la inundación de Scheme declaró sobre Chrome:
Solo el navegador Chrome tenía algún tipo de esquema de protección contra inundaciones que presentaba un desafío para evitarlo. Evita el lanzamiento de cualquier aplicación a menos que lo solicite un gesto del usuario, como un clic del mouse.
Sin embargo, es posible usar extensiones de Chrome y evitar el esquema de protección contra inundaciones como una laguna en los conflictos de fallas con las políticas de extensión particulares.
El uso de este error generalmente varía de un navegador a otro. Sin embargo, el resultado es el mismo. La explotación de identificación única se practica comúnmente. Puede usar una computadora diferente y esperar que la falla se solucione pronto.
