La privacidad es una de las principales preocupaciones de los usuarios de Internet, por este motivo los navegadores han ido incorporando funcionalidades de navegación segura con el objetivo de borrar cualquier rastro de información que pudiera dejar un usuario tras visitar contenido web. El objetivo del informe llevado a cabo por la Universidad de Stanford es verificar hasta que punto el modo de navegación, denominado de diversas formas (InPrivate para Internet Explorer, Private Browsing en Firefox y Safari, e Incognito en Chrome) asegura la privacidad de los datos del usuario.

El análisis ha contemplado únicamente los datos persistentes en disco, es decir, ignorando aquellos residentes en memoria y se ha enfocado desde dos puntos de vista. Por un lado desde el punto de vista local, es decir, los datos que un atacante podría obtener en la máquina del usuario una vez que éste ha finalizado la navegación segura. Y por otra parte, desde el lado del servidor web, esto es, un atacante que controla las páginas web que el usuario visita. Esta visión de la privacidad se implanta de forma distinta por los diversos navegadores; por ejemplo Firefox y Chrome, intentan protegerse contra usuarios locales y toman ciertas consideraciones para protegerse desde ataques web mientras que Safari solo tiene en cuenta ataques locales.

Protección Local

Desde esta perspectiva, se asume que el atacante no tiene acceso a la máquina hasta que finaliza el modo de navegación privada (after-the-fact forensics) y se catalogan 4 tipos de modificaciones en datos persistentes:

1. Aquellos realizados por un sitio web sin la interacción del usuario, ej: cookies, entradas en el historial, caché del navegador, etc.
2. Cambios iniciados por el sitio web pero requiriendo la interacción del usuario como por ejemplo la generación de certificados.
3. Cambios llevados a cabo por el usuario, ej: añadir marcadores/favoritos, descargar de ficheros, etc.
4. Aquellos independientes a los datos de usuario como la instalación de un parche o la actualización de listas negras para bloquear determinados sitios.

Mientras que todos los navegadores tratan de eliminar los cambios de primer tipo, el resto de categorías son tratadas de forma diferente por cada navegador. Además, se presentan otros problemas derivados de la generación de más datos por parte del Sistema Operativo. Un ejemplo de ello es la caché DNS, donde ninguno de los navegadores principales elimina tales registros una vez finaliza el modo privado, es decir, que con un ipconfig /displaydns es suficiente para conocer las URL visitadas recientemente. Otro ejemplo serían páginas swapeadas en disco y que tampoco son eliminadas, dando al atacante en ocasiones información suficiente para conocer la actividad del usuario durante la navegación privada.

La siguiente tabla muestra los datos que persisten en disco una vez ha finalizado la navegación privada por parte de los diversos navegadores. Como se observa en la imagen, todos los navegadores eliminan información referente al historial, cookies, HTML5 y todos ellos almacenan marcadores y descargas realizadas durante la navegación privada.

Imagen extraída de http://crypto.stanford.edu/.

Protección Web

Aunque existen mecanismos que permiten identificar prácticamente de forma única un navegador y el modo de navegación privada, éste además de proporcionar privacidad frente a usuarios locales, también intenta implementar funcionalidades para evitar que un sitio web vincule las conexiones de un usuario navegando alternativamente en modo privado y modo público (modo normal de navegación) dentro de un sitio web, es decir, que éste las considere como conexiones independientes y de esta forma proporcionar cierto anonimato al usuario. Un ejemplo de ello es impidiendo que las cookies generadas en el modo público se utilicen durante la navegación privada. De esto es consciente Firefox, Chrome, e Internet Explorer pero Safari por el contrario hace públicas las cookies disponibles en el modo privado y falla por tanto en este sentido. En algunos casos, las medidas implementadas por algún navegador contradicen sus políticas de seguridad como por ejemplo Firefox, permitiendo utilizar passwords y certificados SSL de cliente almacenados en modo público durante la navegación privada. En cambio si trata correctamente el uso de cookies en ambos modos de navegación.

Violaciones de la Privacidad

Algunas de las violaciones de privacidad que se encontraron en los diversos navegadores se detallan a continuación:

• La implementación de SMB por Internet Explorer para solicitar recursos html (imágenes , ficheros, etc) puede generar peticiones en las que se identifica el usuario, dominio y nombre de host. Ej:

  <img src="\\192.168.1.10\inteco\image.jpg"></pre> </li>

• La utilización de ciertas extensiones y plugins (por ejemplo "Cooliris") contienen componentes binarios que pueden escribir o leer ficheros con los mismos privilegios que el usuario que está ejecutando el navegador, lo cual dificulta la privacidad del usuario por parte del modo privado. Un ejemplo de ello son las entradas whitelist/blocklist/queues que almacenan ciertos plugins para guardar páginas bloqueadas o permitidas. Esta información puede dar pistas a un intruso para obtener las páginas que se visualizaron durante la navegación privada. Cada uno de los navegadores proporcionan un enfoque diferente con el trato de plugins. Internet Explorer al igual que Firefox por ejemplo deshabilita por defecto las extensiones mientras que los plugins siguen siendo operativos.
• La gestión de los certificados digitales por parte del navegador también dificulta en gran medida la privacidad de las comunicaciones. IE, Safari y Firefox por ejemplo mantienen el par de claves generados durante la navegación privada incluso después de finalizar la misma. Las entradas generadas por Internet Explorer o Safari referentes a certificados auto-firmados son también permanentes cuando la sesión privada finaliza por tanto puede permitir a un tercero identificar dichos sitios visitados.
• Los sitios que utilizan la funcionalidad CPH en HTML 5 e implementada en Firefox permite a atacantes locales identificar tales sitios.
• Con respecto al auto-completado de formularios, IE es el único que permite utilizar datos del modo publico para rellenar formularios en el modo privado.

Conclusiones

Las conclusiones a las que llegaron los investigadores tras revisar exhaustivamente los modos de navegación privada fueron que la implementación que hacen los diversos navegadores de la privacidad presenta ciertas deficiencias que pueden permiten a atacantes locales conseguir información sobre la navegación que tuvo lugar de forma privada. Además se demostró como el uso de ciertos plugins y extensiones pueden vulnerar la privacidad de la navegación recopilando información y almacenándola de forma persistente en disco. Para una información más detallada puede consultar el informe completo llevado a cabo por la Universidad de Standford.