Una vulnerabilidad existe en los navegadores web de escritorio Tor Browser, Safari, Chrome y Firefox, que permite la identificación de los usuarios y vincular sus identidades.
Descubierta por Konstantin Darutkin, Investigador y Desarrollador de FingerprintJS, quien ha denominado a la vulnerabilidad como “inundación de esquemas“, debido al uso que hace de esquemas de URL personalizados como vector de ataque, violando la privacidad del usuario.
La vulnerabilidad utiliza información sobre las aplicaciones instaladas en la computadora para asignarle un identificador único permanente, incluso si cambia de navegador, usa el modo de incógnito o usa una VPN.
Un sitio web que explote la vulnerabilidad de inundación del esquema podría crear un identificador único y estable que pueda vincular esas identidades de navegación. Es posible vincular la visita del usuario a Safari con su visita a Chrome, identificarlo de manera única y rastrearlo en la web. También permite publicidad dirigida y perfiles de usuarios sin el consentimiento del usuario.
La lista de aplicaciones instaladas en el dispositivo del usuario puede revelar mucho sobre su ocupación, hábitos y edad. Por ejemplo, si un IDE de Python o un servidor PostgreSQL está instalado en su computadora, es muy probable que sea un desarrollador de backend. Un sitio puede detectar a un oficial del gobierno o militar en Internet en función de sus aplicaciones instaladas y el historial de navegación asociado que está destinado a ser anónimo.
La vulnerabilidad ha sido posible durante más de 5 años y se desconoce su verdadero impacto. No hay indicios de que algún sitio web explote activamente la vulnerabilidad.
El código fuente de la aplicación de demostración está disponible en GitHub y hay un sitio de prueba de la vulnerabilidad para navegadores de escritorio.
Hasta que se solucione la vulnerabilidad, la única forma de tener sesiones de navegación privada no asociadas con su dispositivo principal es usar otro dispositivo por completo.