Safari non è sicuro, hacker possono tracciarti: l'allarme di Google
Il browser della casa di Cupertino dovrebbe proteggere la navigazione degli utenti dal rischio tracking ma, secondo Google, alcune falle favoriscono gli hacker
Se pensate che navigare sul web con Safari garantisca la vostra privacy, perché notoriamente Safari integra una funzionalità che impedisce il tracking del comportamento dell’utente da parte dei siti, allora vi sbagliate: proprio quella funzionalità può essere usata per raccogliere informazioni su di voi. Lo ha scoperto Google.
La funzionalità in questione è la “Intelligent Tracking Prevention“, meglio nota come ITP, e usa l’intelligenza artificiale per “apprendere” quali siti Web autorizzare al tracciamento e quali no. Viene usata dal 2017 e da allora è stata uno dei vanti di Safari ma, adesso, la sua reputazione (e quella di Safari stesso) non può che uscirne fortemente indebolita. Google, infatti, ha scoperto che proprio sfruttando una falla nel sistema ITP è possibile raccogliere molte informazioni sulla navigazione dell’utente, è possibile leggere la sua cronologia dei siti visitati e, in definitiva, tracciare il passaggio dell’utente da un sito all’altro.
Cross-site tracking
Uno dei modi più efficaci per rendere profittevoli le informazioni raccolte su un utente del Web è il cosiddetto tracciamento “cross-site“, che consiste nel seguire lo “zapping” dell’utente tra un sito e l’altro per proporgli gli stessi banner pubblicitari. Se vi siete chiesti come mai su tutti i siti vedete le stesse pubblicità, è anche per colpa di questa tecnologia. A partire da iOS 11 e macOS High Sierra del 2017, per questo, Apple ha introdotto la tecnologia ITP che impedisce anche che il nostro codice di tracking venga scambiato tra un sito e l’altro. Il blocco del tracciamento cross-site è attivo di default su Safari, deve essere l’utente a disattivarlo se lo vuole.
Il problema ITP
Ora, però, Google spiega che poiché la tecnologia ITP memorizza un elenco di informazioni sui siti Web visitati dall’utente, se un hacker riesce ad entrare in possesso di questa lista ha fatto bingo: vi troverà dentro anche più informazioni di quante ne ricaverebbe usando il cross-site tracking. Google, inoltre, ha mostrato che è possibile ottenere queste informazioni con almeno 5 tipi diversi di attacchi.
Tutto risolto?
Google, dopo aver scoperto questa falla, ha avvertito Apple affinché la risolvesse. John Wilander, ingegnere di Apple che guida il team di sviluppo della ITP, ha dichiarato che tutti i problemi erano stati risolti a dicembre 2019. Pochi giorni fa, però, l’ingegnere che si occupa della sicurezza di Chrome Justin Schuh ha dichiarato su Twitter che i problemi di Safari sono ancora tutti presenti.
