Con Safari, il browser di Apple, i dati personali degli utenti sono tutt’altro che in una botte di ferro. Un documento pubblicato da ricercatori di sicurezza del gruppo di Information Security Engineering di Google denuncia l’esistenza di alcuni difetti di progettazione nel sistema anti tracciamento di Safari, l’Intelligent Tracking Prevention, lanciato dall’azienda di Cupertino nel 2017. Problemi che permetterebbero a ipotetici curiosi (anche malintenzionati) di spiare quello che l’utente fa online, collegandosi da postazione fissa o da mobile.
Di questi problemi Apple era già stata informata dal team di ricercatori e conseguentemente aveva rilasciato dei correttivi di sicurezza all’interno degli aggiornamenti Safari 13.04 e iOS 13.3. Peccato che, secondo i tecnici di Google, gli update “non affrontino il problema di fondo”.
L’Intelligent Tracking Prevention dovrebbe contrastare i tentativi di tracciamento cross-site degli internauti, limitando la capacità di conservazione dei cookie e di altri dati relativi alla navigazione Web. Questo tuttavia non accade, per via di “molteplici problemi di sicurezza e di privacy nella progettazione” dell’Intelligent Tracking Prevention (Itp), si legge nel documento. “Questi problemi hanno una serie di inattese conseguenze, tra cui l’esposizione delle abitudini di navigazione Web dell’utente, poiché consentono il tracciamento cross-site persistente e rendono possibile la fuga di informazioni cross-site”.
Addirittura su Twitter l’engineering director di Google Chrome Trust & Safety, Justin Schuh, ha scritto che “L’Itp di Safari introduce vulnerabilità di privacy molto più gravi rispetto al tipo di tracciamento che dovrebbe limitare”. Tornando al documento tecnico pubblicato da Google, i ricercatori descrivono una serie di teorici attacchi in cui è possibile tracciare l’utente in vari modi.
In sostanza, l’Itp crea una lista all’interno delle quali restano conservate informazioni sui siti visitati dagli utenti. Se un dominio Web è inserito nella lista, per un malintenzionato diventa possibile spiare la cronologia di navigazione di un utente.Se invece il dominio non è nella lista, è teoricamente possibile farcelo entrare con una richiesta cross-site inviata da altri tre domini: in questo modo, l’attaccante crea una “firma digitale” con cui può seguire l’internauta attraverso il browser. Un altro possibile attacco si realizza, in particolari condizioni, manomettendo i risultati restituiti da un motore di ricerca.