Punto informatico Network

20100806132110_1929077479_20100806132035_1463761626_spotlight-privacy.png

Navigazione "privata"? Sì, ma non troppo

09/08/2010
- A cura di
Zane.
Internet - Mentre uno studio getta alcune ombre sulla reale efficacia delle modalità "private" in dotazione ai principali browser web, un esperto avvisa: basta una pagina web studiata ad hoc per tracciare l'esatta posizione geografica dell'utente.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

exploit (1) , private mode (1) , incognito (1) , geolocalizzazione (1) , wi-fi (1) , privacy (1) , javascript (1) , navigazione (1) , anonimato (1) , xss (1) .

Valutazione

  •  
Voto complessivo 4 calcolato su 13 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Basta tenersi alla larga dai siti di social networking ed usare un po' di prudenza per garantirsi l'anonimato in rete? Due nuovi studi parrebbero dimostrare che non sia esattamente così.

Navigazione in incognito.. a viso aperto

La prima segnalazione arriva da BBC. Il network del Regno Unito cita i risultati di uno studio condotto da un gruppo di esperti presso l'Università di Stanford: il professor Dan Boneh ed il suo team hanno concluso che Internet Explorer, Firefox, Google Chrome e Safari non sono realmente in grado di garantire una modalità di navigazione completamente "privata".

Tale caratteristica, introdotta per la prima volta da Google Chrome con il nome di "Incognito", dovrebbe consentire, una volta attivata, di sfogliare la rete senza lasciare alcuna traccia sul calcolatore locale: cookie, cache, cronologia e quant'altro dovrebbero essere automaticamente eliminati alla chiusura del programma.

Gli studiosi hanno però tracciato alcune imperfezioni nell'impelementazione della caratteristica che, abbinate a plug-in ed estensioni non ancora pienamente in grado di rispettarla, possono "consentire ad un utente locale di annullare completamente i benefici della navigazione privata".

Il report completo è disponibile qui.

Localizzati con precisione estrema

Un problema ancora più intrigante è stato portato alla luce dallo smanettone Samy Kamkar nel corso di un intervento dall'eloquente titolo "Come ho incontrato la tua ragazza" tenutosi durante la manifestazione Black Hat USA 2010.

L'esperto ha mostrato come, in determinate condizioni, sia possibile identificare con una estrema precisione (9 metri circa) la posizione geografica di un utente indotto a visitare un indirizzo studiato ad hoc.

La trappola funziona in questo modo: il sito del cracker propone una pagina HTML contenente codice Javascript in grado di interrogare il router collegato al PC e recuperare il suo indirizzo MAC (Media Access Control, prefissato in fabbrica e, generalmente, immutabile e univoco per ogni interfaccia di rete).

Una volta in possesso di questo dato, il server inoltra una seconda richiesta a Google: le automobili del colosso delle ricerche salvano infatti gli indirizzi MAC dei router/access point Wi-Fi incontrati durante le scorribande fotografiche necessarie alla realizzazione di Street View, abbinandole alle coordinate geografiche alle quali il dispositivo è stato localizzato.

Una volta che il servizio ha risposto al server del cracker, ecco che l'operazione è conclusa e l'aggressore è riuscito a determinate l'esatta posizione dell'utente.

Benchè il problema possa sembrare estremamente serio, ci sono numerosi requisiti che devono essere soddisfatti affinché tutto funzioni, tali da mitigare notevolmente la reale portata del baco.

Innanzitutto, affinché la trappola possa scattare, è indispensabile che le Google-mobili abbiano attraversato la zona nella quale si trova la vittima, devono aver raccolto l'indirizzo MAC del router (la rete Wi-Fi doveva essere abilitata ed a portata proprio durante il transito) e, inoltre, l'utente non deve aver più sostituito l'apparecchio da allora.

È inoltre indispensabile che il router sia dotato di adattore wireless: quelli solo-cavo non sono interessati per evidenti motivi.

Inoltre, e questa è forse la limitazione più importante, è indispensabile che l'utente non abbia modificato la password di default per l'accesso al pannello di amministrazione del dispositivo, o che stia usando un modello che non la richiede, e che l'interfaccia web di controllo sia afflitta da un baco di sicurezza in grado di aprire le porte ad un attacco di tipo Cross-site scripting (XSS).

Gli utenti interessati possono testare il tutto a questo indirizzo: nel corso delle mie prove l'attacco non è mai riuscito ma, in caso contrario, la posizione dell'utente sarà mostrata nella mappa presente ai piedi della pagina.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.36 sec.
    •  | Utenti conn.: 117
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0.22