Apple bloquea sitios web que abusan de HSTS para rastrear usuarios
Si no está enterado, se puede abusar del estándar de seguridad HTTP Strict Transport Security (HSTS) como 'supercookie' para rastrear a los usuarios de casi todos los navegadores web modernos sin su conocimiento, incluso cuando utilizan usan la "navegación privada".
Apple ahora ha agregado mitigaciones a su infraestructura de navegador de código abierto WebKit que respalda su navegador web Safari para evitar el abuso de HSTS después de descubrir que los ataques teóricos demostrados en 2015 se implementaron recientemente en la naturaleza contra los usuarios de Safari.
HSTS-HTTP Strict Transport Security-es una gran característica que permite a los sitios web redirigir automáticamente el tráfico web del usuario a conexiones de páginas seguras a través de HTTPS si el usuario abre accidentalmente una URL insegura y luego recuerda enrutar a ese usuario a la conexión segura siempre.
Dado que HSTS no permite que los sitios web almacenen información/valor en el navegador web de los usuarios, excepto recordar la información de redireccionamiento para activarlo o desactivarlo para usarlo en el futuro, alguien interesado en el seguimiento de usuarios web puede crear una llamada supercookie que puede luego ser leído por los servidores de seguimiento entre sitios para marcar a los usuarios en los sitios web.
Así es cómo funciona el seguimiento basado en HSTS:
Para entender cómo funciona el seguimiento de Supercookie HSTS, aquí hay un ejemplo simple:
- Para rastrear a cada usuario, los sitios asignan un número aleatorio único a cada visitante, por ejemplo, 909090, donde la conversión binaria de 32 caracteres para 909090 es 00000000000011011101111100100010.
- Para establecer este número binario para un usuario específico, el sitio establece la política de HSTS para sus 32 subdominios (tr01.example.com, tr02.example.com ...... y tr32.example.com) en consecuencia, donde si HSTS para un subdominio está habilitado, entonces el valor es 1 y si no, el valor es 0.
Ahora, cada vez que el usuario visita el mismo sitio web, abre silenciosamente píxeles invisibles de 32 caracteres de sus subdominios en el fondo que representan los bits en el número binario, indicando al servidor qué subdominios se abren a través de HTTPS (1) y cuáles a través de HTTP (0)
Y con gracias a la combinación del valor anterior revela el valor binario exclusivo del usuario para el servidor, lo que ayuda a los sitios web/anunciantes a marcar a los usuarios en todos los sitios.
Sin embargo, Apple ahora ha agregado dos mitigaciones al motor WebKit de Safari que aborda ambos lados del ataque: dónde se crean los identificadores de seguimiento y el uso posterior de píxeles invisibles para rastrear a los usuarios.
La primera mitigación: aborda el problema de establecimiento de cookies súper, donde los atacantes utilizan largas URL que codifican los dígitos en los subdominios del nombre de dominio principal y la práctica de establecer HSTS en una amplia gama de subdominios a la vez.
Safari ahora limitará el estado de HSTS al nombre de host cargado, o al dominio de nivel superior más uno (TLD + 1), y "WebKit también limita el número de redirecciones que se pueden encadenar juntas, lo que coloca un límite superior en el número de bits que se pueden establecer, incluso si la latencia se juzgó aceptable".
"Esto evita que los rastreadores configuren de manera eficiente el HSTS en grandes cantidades de bits diferentes, sino que deben visitar individualmente cada dominio que represente un bit activo en el identificador de seguimiento", dice Brent Fulgham, un desarrollador que trabaja en el motor Safari WebKit.
"Si bien los proveedores de contenido y los anunciantes pueden juzgar que la latencia introducida por una sola redirección a través de un origen para establecer muchos bits es imperceptible para un usuario, que requiere redirecciones a 32 o más dominios para establecer los bits del identificador serían perceptibles para el usuario y por lo tanto, inaceptable para ellos y proveedores de contenido ".
En la segunda mitigación de Safari ignora el estado de HSTS para las solicitudes de recursos a dominios bloqueados, donde WebKit bloquea cosas como píxeles de seguimiento invisibles al forzar una redirección de HSTS, lo que hace que las supercookies de HSTS se conviertan en una cadena de pocos ceros.
Sin embargo, Apple no nombra a ningún individuo, organización o empresa de publicidad que esté utilizando el seguimiento de supercook HSTS para apuntar a los usuarios de Safari.