Investigadores da Universidade de Tecnologia de Graz, na Áustria, demonstraram uma nova técnica de espionagem digital que permite a qualquer website descobrir que outros sites o utilizador está a visitar e até que aplicações está a usar no computador, bastando que abra uma página no browser.
O ataque, denominado FROST (PDF link), funciona inteiramente através de JavaScript e explora o Origin Private File System (OPFS), uma funcionalidade dos browsers que permite aos websites armazenarem ficheiros localmente sem necessitarem de autorização explícita do utilizador. A técnica consiste em criar um ficheiro de grandes dimensões que dê uso contínuo ao SSD, e de seguida medir constantemente a velocidade de leitura do armazenamento. As pequenas variações provocadas pela restante actividades no SSD acabam por revelar padrões que podem revelar o que está a ser feito.
Apesar da gravidade potencial da descoberta, as respostas dos principais fabricantes de navegadores foram limitadas. O projecto Chromium considerou que o problema se enquadra na categoria de técnicas de fingerprinting e não numa falha de segurança tradicional. A Apple classificou a questão como estando fora do âmbito das suas políticas de protecção, enquanto a Mozilla reconheceu a investigação mas ainda não implementou medidas específicas para mitigar o problema. A descoberta volta a levantar preocupações sobre a privacidade online e sobre a crescente utilização de técnicas sofisticadas para monitorizar utilizadores através de funcionalidades aparentemente inofensivas dos browsers modernos.
Embora seja mais uma coisa para "chatear" os utilizadores, acho que se justifica remover a permissão de acesso directo aos discos aos sites, colocando-a atrás de um pedido dedicado, tal como acontece para o uso das câmaras, microfones, localização, etc. Afinal, quem é que quer que um site tenha direito a poder usar até 8TB(!) do seu disco sem sequer pedir autorização?
Sem comentários:
Enviar um comentário