Apple se ha movido para bloquear un vector de ataque en el marco del WebKit, el cual se aprovechaba del navegador Safari y permitía abusar de HSTS para que actuase como una SuperCookie con el objetivo de hacer tracking de usuarios. El HSTS permite a un sitio web declarar a los navegadores que solo se puede acceder a un sitio a través de HTTPS. Si un usuario intenta acceder a la versión HTTP del sitio, no se llega a realizar la petición por parte del navegador, directamente se realiza la conexión de HTTPS. El problema viene porque un sitio podía utilizar la información de este proceso como una SuperCookie para el rastreo.
La RFC 6797 lo describe como se indica a continuación: "Los UA, User-Agent, deben conservar datos persistentes sobre sitios web que indiquen la habilitación estricta de la política de seguridad para períodos de tiempo declarados por los sitios web. Además, los UA deben almacenar en caché la información de la política de seguridad estricta más reciente para permitir que los sitios web actualicen la información". El RFC reconoce el potencial para el seguimiento de HSTS, y las posibilidades de abuso se demostraron ya en el año 2015.
 |
| Figura 1: User Agent en el RFC |
El investigador Sam Greenhalgh estableció el concepto de PIN HSTS para cada sitio redireccionado HTTPS, es exclusivo para el usuario y el sitio, y es legible desde la configuración del navegador por cualquier sitio. Esos pines podrían recuperarse en el futuro y el usuario no tiene la oportunidad de borrarlos. Un atacante que busca rastrear los visitantes del sitio puede aprovechar la caché HSTS del usuario para almacenar un bit de información en el dispositivo de ese usuario. Por ejemplo, cargar este dominio con HTTPS, podría representar un 1, mientras que ninguna entrada representaría o sería representado por un 0. Al registrar una gran cantidad de dominios, por ejemplo 32, y forzar la carga de recursos desde un subconjunto controlado de esos dominios, se puede crear un vector de bits lo suficientemente grande como para representar de forma única a cada visitante.
Apple ha decidido mitigar ambos lados del ataque, al limitar el estado de HSTS y abordar cómo se graba el estado de HSTS. Sin duda, un interesante paso que ha dado Apple hacia una mejora en lo que a privacidad se refiere.
No hay comentarios:
Publicar un comentario