Una fallo de JavaScript permite espiar que páginas han sido visitadas a través de los navegadores, incluso si protege su conexión a Internet con una conexión encriptada.
En lugar de espiar directamente en los sitios, el código adivina su historial de manera silenciosa gracias a unos algoritmos de inteligencia artificial, a partir de datos como el tiempo de carga de las páginas. Incluso las conexiones realizadas a través de Tor son vulnerables, lo que hace que este fallo sea particularmente peligroso.
Se puede usar esta vulnerabilidad de JavaScript para adivinar el historial completo de navegación del usuario y funciona en todos los navegadores.
Investigadores de la Universidad Ben-Gurion de Negev (Israel), la Universidad de Adelaide (Australia) y la Universidad de Princeton (EE. UU.) han desarrollado un nuevo tipo de ataque basado en huellas, una técnica que analiza el historial de las visitas web de un usuario mediante el análisis estadístico de su tráfico, como el tiempo de carga de las páginas, basado en un error de JavaScript.
Un fallo de JavaScript hace posible espiar a los usuarios de Tor.
Según los investigadores, es posible ejecutar un código malicioso de JavaScript desde una página web. Este código está diseñado para explotar la caché del navegador y transmitir esos datos a otros servidores. Los investigadores han capturado una gran cantidad de datos sobre el ping, el tiempo de carga de la página, la latencia de acceso a la caché ... toda esa información forma lo que los investigadores llaman un Memorygram. En otras palabras, una huella de la visita.
Por supuesto, los investigadores ya saben qué sitios dan tal Memorygram. De este modo, pueden deducir que sitio en cuestión ha sido visitado. Para ayudarlos a crear perfiles de sitios web, los investigadores utilizan el aprendizaje automático y la inteligencia artificial. El resultado es un ataque tan sofisticado como discreto. Pero los investigadores también muestran en detalle que este ataque también funciona en Tor, el navegador diseñado para proteger la privacidad. Los investigadores evocan varias pistas que permitirían tapar este fallo de JavaScript.
Sin embargo, los usuarios de Tor deben esperar una solución confiable, preferir la desactivación de JavaScript en todos sus navegadores, teniendo en cuenta los riesgos. Para aquellos que estén interesados, los investigadores explican con mucho detalle su explotación de este defecto en su artículo científico.
