esenfrdeitptru

El CNAME del juego de golpes de rastreadores: Análisis a gran escala de la evasión de seguimiento basada en DNS

AS-020-2021

Fecha: 26/Febrero/2021

Resumen:

El seguimiento en línea es un juego de golpes entre rastreadores que crean y monetizan perfiles de usuario a través de la recopilación de datos intrusivos y mecanismos anti-seguimiento, implementados como una extensión del navegador, integrados en el navegador o como un solucionador de DNS.

Boffins con sede en Bélgica ha encontrado que una técnica basada en DNS para eludir las defensas contra el seguimiento en línea, el cual es cada vez más común, representa una amenaza creciente tanto para la privacidad como para la seguridad. [3]

La técnica CNAME omite las medidas anti-seguimiento y ciertos usuarios apuntan a algunos navegadores web específicos (Apple Safari). Se demuestra que el uso del método de seguimiento CNAME conduce a la proliferación de errores de seguridad y privacidad en la web. Esta medida de seguimiento potencialmente conduce a una violación masiva de datos.

Los datos de los usuarios se filtran o están siendo adquiridos por rastreadores. Esto sucede ante nuestros ojos. Los navegadores web tratan de luchar contra los abusos, se ha producido por lo tanto una carrera armamentista donde se desarrollan nuevas medidas de seguimiento y anti-seguimiento.

El uso del ocultamiento CNAME es introducir errores de seguridad web que permiten comprometer / hackear a los usuarios desprevenidos. Los sitios web podrían hacer un mal uso de los errores para comprometer la seguridad de los usuarios web, sistemáticamente.

Filtraciones de privacidad.

Un registro de nombre canónico (abreviado como registro CNAME)es un tipo de registro de recursos en el Sistema de nombres de dominio (DNS) que asigna un nombre de dominio (un alias) a otro (el nombre canónico). [1]

"Las cookies enviadas en los cuerpos POST indican que ciertos scripts de seguimiento CNAME leen y filtran activamente las cookies a las que pueden acceder en sitios de terceros. Encontramos 1.899 fugas de cookies en urls de solicitud a subdominios CNAME en 1.295 sitios distintos. " [2]

“Ciertos rastreadores basados en CNAME utilizan cookies de terceros para el seguimiento entre sitios y a veces reciben cookies establecidas por otros dominios de terceros, lo que les permite realizar un seguimiento de los usuarios a través de sitios web." [2]

Específicamente, se ha encontrado instancias de la siguiente información confidencial filtrada al rastreador CNAME.

  • El nombre completo del usuario. 
  • Ubicación. 
  • Dirección de correo electrónico. 
  • La cookie de autenticación (adiós a la seguridad web)

Las luces de alerta GDPR deben parpadear en rojo. Esto probablemente desencadena cláusulas relacionadas con GDPR y ePrivacy.

Recomendaciones.

Actualmente, entre los principales proveedores de navegadores web solo Firefox ofrece capacidades técnicas que permiten defensas por extensiones, Safari tiene mitigaciones parciales (las fugas de cookies todavía existen, iOS 14 y macOS Big Sur de Apple vienen con salvaguardias adicionales que se basan en su característica ITP para proteger el encubrimiento CNAME de terceros, aunque no ofrece un medio para desenmascarar el dominio de seguimiento y bloquearlo desde el principio); y el navegador Brave el cual ofrece defensas basadas en el bloqueo de fugas CNAME. Desde uBlock versión 1.25 en Firefox, la extensión resuelve dinámicamente los hosts y desinfecta dichas solicitudes si se encuentra una coincidencia. Tal medida no funciona en Chrome. En los últimos cuatro años, todos los principales navegadores, con la excepción de Google Chrome, han incluido contramedidas para frenar el seguimiento de terceros.

Los sitios web que utilizan rastreadores CNAME deben tomar precauciones adicionales para evitar la filtración de información sensible a terceros.

Referencias:

[1] Mockapetris, P. (noviembre de 1987). "RFC 1035 - Nombres de dominio - implementación y especificación". Grupo de Trabajo de Ingeniería de Internet. Consultado el 16 de marzo de 2019.

[2] https://blog.lukaszolejnik.com/large-scale-analysis-of-dns-based-tracking-evasion-broad-data-leaks-included/

[3] https://www.theregister.com/2021/02/24/dns_cname_tracking/