Situs Demo favicon - ikon .ico berukuran 16 * 16 atau 32 * 32 piksel kecil pada tab browser. Membantu Anda menavigasi ratusan tab. Twitter memiliki burung biru, Gmail memiliki simbol surat merah, Wikipedia memiliki huruf W.



Namun ternyata ikon ini mewakili kerentanan yang dapat digunakan untuk melakukan sidik jari - untuk mengidentifikasi pengguna bahkan melalui VPN dan mode penyamaran di browser ( lihat demo ).



Programmer Jerman Jonas Strehle di repositori Github menjelaskan metode untuk menginstal cookie super non-removable melalui favicon: “Cookie super memberikan ID unik kepada pengunjung situs melalui favicon. Tidak seperti metode pelacakan tradisional, ID ini dipertahankan hampir selamanya dan tidak dapat dihapus oleh pengguna menggunakan metode sederhana. Metode pelacakan bekerja bahkan dalam mode penyamaran. Cookie Super tidak dihapus saat Anda mengosongkan cache, menutup browser, atau memulai ulang sistem Anda, menggunakan VPN atau pemblokir iklan. ”

Bagaimana sidik jari bekerja

Untuk menampilkan ikon, atribut berikut dimasukkan ke dalam kode halaman:

<link rel="icon" href="/favicon.ico" type="image/x-icon">
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Favicon harus sangat mudah diakses melalui browser. Oleh karena itu, mereka di-cache dalam database lokal terpisah, yang disebut cache favicon (F-Cache), tempat URL, ID favicon, dan masa pakai disimpan.



Saat pengguna mengunjungi situs, browser memeriksa F-Cache lokal untuk entri yang berisi URL situs web aktif. Jika entri ditemukan, ikon dimuat dari cache. Jika tidak ada entri, browser mengirimkan permintaan GET untuk mengunduh favicon dari server.



Mekanisme ini memungkinkan server untuk belajar banyak tentang pengunjung. Dengan menggabungkan status dikirim dan gagal favicon untuk URL tertentu, klien diberi template unik (nomor identifikasi). Kemudian ID disimpan:

const N = 4;
const ROUTES = ["/a", "/b", "/c", "/d"];
const ID = generateNewID(); // -> 1010 • (select unassigned decimal number, here ten: 10 -> 1010b in binary)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

const vector = generateVectorFromID(ID); // -> ["/a", "/c"] • (because [a, b, c, d] where [1, 0, 1, 0] is 1 -> a, c)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Setelah memuat ulang situs, ID ini dapat dipulihkan dari daftar permintaan jaringan yang dikirim oleh klien untuk favicon yang hilang - dan dengan demikian mengidentifikasi browser.

const visitedRoutes = [];
Webserver.onvisit = (route) => visitedRoutes.push(route);  // -> ["/b", "/d"]
Webserver.ondone = () => { const ID = getIDFromVector(visitedRoutes) }; // -> 10 • (because "/a" and "/b" are missing -> 1010b)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Penulis meluncurkan situs web untuk mendemonstrasikan sidik jari menggunakan favicon. Kode sumber dan penjelasan rinci tentang mekanisme tersebut telah dipublikasikan .



Bagian terburuk dari kerentanan ini adalah betapa mudahnya untuk melewati metode tradisional yang digunakan orang untuk melindungi privasi mereka. Sidik jari menerobos mode "pribadi" Chrome, Safari, Edge, dan Firefox, kata Strehle. Pembersihan cache, VPN atau pemblokir iklan - tidak ada yang menghalangi favicon berbahaya.



Kesimpulan yang sama dicapai oleh para peneliti dari University of Illinois dalam karya ilmiah yang baru-baru ini diterbitkan "Tales of Favicons and Caches: Persistent Tracking in Modern Browsers"."Kami menemukan bahwa menggabungkan teknik pelacakan favicon kami dengan sidik jari melalui atribut browser yang tidak dapat diubah memungkinkan situs untuk memulihkan ID pelacakan 32-bit dalam dua detik," kata studi tersebut. - Karena kerentanan yang parah, kami mengusulkan untuk membuat perubahan pada cache browser favicon untuk mencegah bentuk pelacakan ini. Kami telah membagikan temuan kami dengan pengembang vendor browser yang saat ini sedang menjelajahi opsi mitigasi. ”



Sidik jari melalui favicons saat ini berfungsi di semua browser utama, termasuk browser seluler (tanda tambah):





Tabel berikut menunjukkan waktu minimum yang dibutuhkan untuk melakukan serangan. Angka sebenarnya juga bergantung pada faktor tambahan seperti kecepatan koneksi internet, lokasi, kinerja perangkat keras, dan jenis browser.