Las WebExtensions de Firefox se pueden utilizar para ser identificados en Internet

Escrito por David Onieva
Actualidad

Buena parte de los navegadores web modernos filtran alguna información a través de sus extensiones a otros sitios en el caso de que estos ejecuten scripts para extraer esa información. Con todo y con ello la cosa se puede volver más peligrosa llegado el caso, como veremos en estas líneas.

Y es que a menos que se bloqueen las secuencias de comandos, los sitios pueden ejecutar estas secuencias que comprueban el tiempo de respuesta del navegador, ya que es diferente cuando se realizan comprobaciones para localizar extensiones falsas. Sin embargo decir que la situación del navegador Firefox de Mozilla es un tanto especial, ya que soporta el sistema complementario heredado además del nuevo sistema conocido como WebExtensions. Así, un investigador ha sugerido que este nuevo sistema de Firefox también podría ser vulnerable.

De hecho se ha descubierto que el método empleado por las WebExtensions de la propuesta de Mozilla para movernos por la Red, utiliza identificaciones aleatorias, lo que significa que el sistema para enumerar las extensiones no funcionaría en ese caso, a diferencia de Chrome y otros navegadores basados igualmente en Chromium. Si bien esto es correcto, la nueva implementación de Mozilla introduce un problema que permite a los sitios identificar a los usuarios si las WebExtensions exponen ciertos contenido a estos sitios, ya que los IDs aleatorios son permanentes.

Las WebExtensions de Firefox pueden ser usadas para identificarnos

Esto se debe en gran medida a que se ha modificado el esquema inicial de “moz-extension: // [extID] / [path]” a “moz-extension: // [random-UUID] / [path]”, lo que hace que sea más difícil enumerar las extensiones del usuario, pero del mismo modo introduce un problema mucho más peligroso.

Firefox

En realidad, el token UUID aleatorio ahora se puede utilizar para las huellas dactilares de los usuarios, por lo que un sitio web puede recuperar este UUID y utilizarlo para identificar de forma exclusiva al mismo, ya que una vez que se genera el ID aleatorio, nunca cambia, algo de lo que Mozilla ya ha sido informado.

Así, si un sitio logra captar el ID, puede realizar un seguimiento de la instalación de Firefox al no poder este ser modificado, aunque también es cierto que en algunos casos los propios usuarios tienen que hacer clic en el correspondiente botón de captura para que el ID único esté disponible para el sitio, pero otras extensiones pueden exponer este contenido sin nuestra interacción.

Por lo tanto, si las WebExtensions exponen contenidos a sitios porque tienen fallos de implementación, estos sitios pueden utilizar las huellas dactilares de los usuarios en función del ID único que se expone en el proceso, lo cual debe ser corregido por parte de los desarrolladores y así proteger a sus clientes.

Fuente > Ghacks

Compártelo. ¡Gracias!
Continúa leyendo