History Stealing 2.0: wiem, gdzie mieszkasz

Dwaj programiści udoskonalili technikę do przeglądania historii przeglądarki do tego stopnia, że strony potrafią nawet ustalić ostatnio przeczytany artykuł w witrynie serwisu informacyjnego, dokładny kod pocztowy odwiedzającego i hasła wyszukiwania wpisane do wyszukiwarki. Poza tym programistom Arturowi Jancowi i Łukaszowi Olejnikowi udało się na tyle zoptymalizować używany w tym celu kod JavaScript, że metoda znana jako History Stealing działa teraz sześć razy szybciej niż dotychczasowe sposoby.

Metoda History Stealing korzysta ze sposobu, w jaki przeglądarki zapisują, czy użytkownik już odwiedził dany link, czy też nie (prosty test można znaleźć w Sieci)
. Już odwiedzone odnośniki mają inny kolor niż te, których jeszcze nie kliknęliśmy. Inny kolor jest osiągany dzięki zmianie odwołania do arkusza stylów (CSS) dokumentu HTML, którą przeglądarka zapisuje jako atrybut w historii. Za pomocą JavaScriptu można przetestować listę stron WWW i schematy kolorów CSS, w wyniku czego możliwe jest ustalenie odwiedzonych witryn. Im dłuższa jest ta lista, tym większe jest prawdopodobieństwo trafienia. Za pomocą zoptymalizowanego JavaScriptu można w ten sposób wypróbować 3. tysięcy odnośników na sekundę.

Niestety, istnieje także możliwość dostania się do historii przeglądarki bez JavaScriptu. W tym celu potencjalny napastnik może skorzystać z pewnej właściwości arkusza stylów, która pozwala na ładowanie różnych plików graficznych tła, zależnie od tego, czy dana strona została już odwiedzona, czy też nie. Z użyciem spreparowanych dokumentów HTML intruz może wtedy bez JavaScriptu odczytać historię, obserwując, czy konkretny obraz jest ładowany. Janc i Olejnik zintegrowali także i tę metodę w swoich testach, która według ich informacji funkcjonuje również przy wyłączonym JavaScripcie i zainstalowanych plugi-nach takich jak NoScript.

W trakcie prób z udziałem około 27. tysięcy internautów 76% z nich było podatnych na History Stealing. Przeciętnie udawało się ustalić około 62 strony należące do najpopularniejszych serwisów internetowych. Szczególnie wiele trudu autorzy zadali sobie przy tworzeniu listy: najpierw zebrano sześć tysięcy adresów najpopularniejszych witryn, portali informacyjnych, stron dla dorosłych, sieci społecznościowych i sekcji Wikileaks. Następnie na podstawie odnośników w tych stronach przeszukane zostały podstrony, formularze i obrazy. Na stronach informacyjnych autorzy pobierali dodatkowo aktualne kanały RSS, aby w ten sposób również sprawdzać odsyłacze.

Oprócz tego dodali oni do stron hiperłącza do miejsc, w których użytkownicy zwykle podają swoje kody pocztowe (ZIP-Code) –. chodzi tu na przykład o serwisy z informacjami pogodowymi. Testując różne lokalizacje w 9% sprawdzanych przypadków udało się ustalić kod pocztowy, który jednak równie dobrze mógł być kodem pocztowym miejsca planowanego urlopu. W podobny sposób za pomocą listy 10 tysięcy najczęściej używanych słów i fraz udało się zweryfikować hasła wyszukiwane w przeglądarkach Google i Bing.

Jak twierdzą Janc i Olejnik, interesującym wynikiem badania jest to, że w pewnych testach liczba rozpoznań przy wyłączonym JavaScripcie jest większa niż przy włączonym. Ich zdaniem firmy powinny wziąć to pod uwagę ze względu na bezpieczeństwo przeglądarek. Tym niemniej skuteczną ochroną jest w dalszym ciągu regularne usuwanie historii przeglądarki przy krótszych terminach przechowywania adresów w historii.

Dokument jest opublikowany online i nosi tytuł "Feasibility and Real-World Implications of Web Browser History Detection" (PDF).

wydanie internetowe www.heise-online.pl