Google Chrome è spesso tra i protagonisti di queste pagine grazie al costante lavoro di aggiornamento e maturazione del browser più popolare al mondo da parte del team di sviluppo il quale negli ultimi giorni ha rilasciato la versione 135 sul canale stabile dell’app per Android che implementa il tanto atteso design edge-to-edge.
Tuttavia, la notizia di oggi non riguarda lo sviluppo del browser bensì la scoperta – e correzione – di una clamorosa vulnerabilità nel codice di Google Chrome che avrebbe esposto e tracciato involontariamente la cronologia di navigazione degli utenti. Facciamo chiarezza.
Segui TuttoAndroid su Google Discover
Offerte Amazon Prime Day, scopri quando!
Iscrivi ad Amazon Prime per poter approfittare delle offerte Prime Day, i primi 30 giorni sono gratis!
Google scopre e corregge una grave vulnerabilità di Chrome
L’annuncio della scoperta arriva direttamente da Google: una falla del proprio browser, usato da milioni di utenti in tutto il mondo, avrebbe reso possibile a malintenzionati il tracciamento delle abitudini di navigazione degli utenti aprendo le porte a ogni sorta di pericolo come malware, spam e phishing.
Ciò che preoccupa è questa grave vulnerabilità sarebbe in giro dal primo lancio di Chrome avvenuto nel settembre del 2008.
Tutto avrebbe a che fare con i link e la loro colorazione se sono stati visitati (viola) oppure no (blu): ebbene, sembrerebbe che questa differenza cromatica non sarebbe stata protetta da privacy venendo dunque, potenzialmente, esposta a malintenzionati.
In sostanza, il problema consisteva nel fatto che i link venissero visualizzati in viola se un utente aveva cliccato su di essi, indipendentemente da dove li avesse cliccati in precedenza. Questo permetteva, pertanto, ad altri siti di eseguire script malevoli per controllare e tracciare quali link fossero viola e, in sostanza, vedere i siti visitati dall’utente e ricostruirne la cronologia di navigazione.
Google stessa ne ha spiegato il funzionamento: i siti web possono formattare i link utilizzando il selettore :visited per mostrare il colore viola se sono stati cliccati, indipendentemente da dove è stato effettuato questo click. Questo significava che altri siti malevoli potevano eseguire script subdoli per verificare quali link fossero viola, e dunque in sostanza sbirciare i siti visitati dagli utenti e, dettaglio più pericoloso, ricostruirne l’intera cronologia di navigazione di un determinato periodo per i propri scopi.
Il problema non è circoscritto solo al tema della privacy bensì Google lo definisce un vero e proprio “difetto di progettazione principale” in quanto avrebbe potuto (o potrebbe averlo già fatto) a situazioni spiacevoli come il tracciamento della navigazione degli utenti, la loro profilazione e il phishing esponendo le persone a pericoli digitali concreti come truffe e simili.
Come anticipato, Google ha annunciato una correzione a partire dalla versione 136 di Chrome in arrivo entro la fine del mese di aprile.
In cosa consiste questa correzione? Google la chiama “partizionamento a tripla chiave”, un termine tecnico per indicare che Big G non traccerà più i link visitati globalmente bensì implementerà alcuni filtri di sicurezza prima di contrassegnare un sito come “visited:” e applicare il colore viola.
In precedenza, senza la partizione un sito malevolo poteva scoprire se un link fosse stato marchiato come visitato e imparando le abitudini di navigazione degli utenti in quanto avrebbe avuto accesso all’informazione del giorno stesso ma anche se l’utente in questione lo avesse visitato in passato; una ricetta perfetta per il phishing.
Grazie alla tripla partizione, verranno presi in considerazione da Google tre fattori: l’URL del sito a cui rimanda il link, il dominio del sito stesso (ciò che appare sulla barra degli indirizzi) e l’origine del frame all’interno del quale è inserito quel link.
Pertanto, questa modifica farà si che un link venga contrassegnato da Google come visitato solo se l’utente ha già cliccato su di esso in precedenza sullo stesso sito e nello stesso contesto.
Questo consentirà di eliminare ogni tipo di tracciamento subdolo tra siti preservando la privacy degli utenti e della loro cronologia di navigazione.
La correzione verrà resa disponibile a tutti gli utenti con Chrome 136, la cui versione stabile è in arrivo entro la fine di aprile; staremo a vedere se questo aggiornamento sarà sufficiente a correggere una vulnerabilità lunga quasi 20 anni.