Varios sitios web utilizan las huellas digitales de los dispositivos para rastrear en secreto a usuarios

Un nuevo estudio realizado por investigadores de KU Leuven- iMinds ha descubierto que 145 de los 10 000 mejores sitios web de Internet rastrean a los usuarios sin su conocimiento o consentimiento. Los sitios web utilizan scripts ocultos para extraer una huella digital del dispositivo desde los navegadores de los usuarios. La huella de los dispositivos evita las restricciones legales impuestas a la utilización de cookies e ignora el encabezado Do Not Track de HTTP. Los resultados sugieren que el rastreo secreto está más extendido de lo pensado previamente.

Device fingerprinting (como es conocido en ingles), también conocida como browser fingerprinting, es la práctica de recoger las propiedades de PCs, teléfonos inteligentes y tabletas para identificar y rastrear a los usuarios. Estas propiedades incluyen el tamaño de la pantalla, las versiones de software y plugins instalados, y la lista de fuentes instaladas. Un estudio de 2010 de la Fundación de la Frontera Electrónica (EFF ) mostró que, para la gran mayoría de los navegadores, la combinación de estas propiedades es única, y por lo tanto funciona como una "huella digital" que se puede utilizar para rastrear a los usuarios sin depender de las cookies. Los objetivos de las huellas digitales del dispositivo son animaciones Flash, el plugin para el navegador para reproducir animaciones, vídeos y archivos de sonido, o JavaScript, un lenguaje de programación común para las aplicaciones web.

Este es el primer esfuerzo integral para medir la prevalencia de la toma de huellas digitales de los dispositivos en el Internet. El equipo de investigadores de la KU Leuven- iMinds analizó los principales 10,000 sitios web de Internet y descubrió que 145 de ellos (casi el 1,5 % ) utilizan huellas dactilares basados en Flash. Algunos objetos Flash incluyen técnicas cuestionables como revelar la dirección IP original de un usuario al visitar una página web a través de un tercero ( llamado representante).

El estudio también encontró que 404 de 1.000.000 de los mejores sitios utilizan huellas digitales basados en JavaScript, que permite realizar un seguimiento de los sitios que no son Flash a teléfonos móviles y dispositivos. Se encontró que los scripts de toma de huellas digitales sondean una larga lista de fuentes - a veces de hasta 500 - mediante la medición de la anchura y la altura de cadenas secretas - impresas en la página.

Los investigadores identificaron un total de 16 nuevos proveedores de huellas digitales de dispositivos, sólo uno de los cuales había sido identificado en la investigación previa. En otro hallazgo sorprendente , los investigadores encontraron que los usuarios son seguidos por estas tecnologías de huellas digitales del dispositivo, incluso si no piden expresamente ser rastreados al permitir el encabezado Do Not Track ( DNT ) en HTTP.

Los investigadores también evaluaron Tor Browser and Firegloves dos herramientas que refuerzan la privacidad que ofrecen resistencia a la toma de huellas dactilares. Se identificaron - Nuevas vulnerabilidades - algunas de las cuales dan acceso a la identidad de los usuarios.

Las huellas dactilares de los dispositivos pueden ser utilizadas para diversas tareas relacionadas con la seguridad, incluyendo la detección de fraudes, protección contra robo de cuentas y anti -bot y los servicios anti- raspan. Pero también se están utilizando para el análisis y propósitos de marketing a través de secuencias de comandos de huellas ocultas en banners publicitarios y widgets Web.

Para detectar los sitios web que utilizan las tecnologías de huellas digitales del dispositivo, los investigadores desarrollaron una herramienta llamada FPDetective. La herramienta rastrea y analiza los sitios web para scripts sospechosos. Esta herramienta estará disponible gratuitamente en homes.esat.kuleuven.be / ~ GACAR / fpdetective / para que otros investigadores puedan utilizarla y aprovecharle.

Los resultados serán presentados en la 20 ª Conferencia ACM sobre Informática y Comunicaciones de Seguridad durante este mes de noviembre en Berlín.

Fuente:

http://phys.org/