Todos los navegadores web modernos pierden información a través de las extensiones a sitios si éstos ejecutan scripts para extraer la información. En este artículo nos hacemos eco de los hallazgos de una investigación que ha sido publicada recientemente en un artículo. A menos que se bloqueen las secuencias de comandos, los sitios pueden ejecutar secuencias que comprueban el tiempo de respuesta del navegador, ya que es diferente cuando se realizan comprobaciones para extensiones falsas y recursos falsos y para extensiones existentes y recursos falsos. Es el caso de Firefox WebExtensions.

Firefox WebExtensions

La situación de Firefox es especial, ya que soporta el sistema complementario tradicional y el nuevo sistema Firefox WebExtensions. El investigador probó el sistema complementario tradicional del navegador, pero sugirió que el nuevo sistema de Firefox también sería vulnerable.

Desde la investigación aseguran que el sistema Firefox WebExtensions utiliza identificaciones aleatorias, y que esto significa que el método para enumerar extensiones no funcionaría en ese caso (a diferencia de Chrome y otros navegadores basados ​​en Chromium).

Eso es cierto, pero la implementación de Mozilla introduce un nuevo problema que permite a los sitios identificar a los usuarios si WebExtensions expone contenido a sitios, ya que los IDs aleatorios son permanentes.

Si un sitio logra captar el ID, puede realizar un seguimiento de la instalación de Firefox, ya que el ID nunca cambia.

Ejemplo

Esto no es sólo teórico; Earthling ha creado una prueba de concepto que destaca una fuga en la herramienta de captura nativa de Firefox.

Si bien este ejemplo en particular requiere que los usuarios hagan clic en el botón de captura de pantalla de la interfaz de Firefox para que el ID único esté disponible para el sitio, otras extensiones pueden exponer contenido sin interacción del usuario.

Safari, en Apple, utiliza un sistema de UUID al azar y los investigadores descubrieron que podrían enumerar alrededor del 40% de todas las extensiones, ya que su aplicación es defectuosa.

Si WebExtension expone contenido a sitios porque tienen fallos de implementación, los sitios podrían utilizar las huellas dactilares de los usuarios en función del ID único que se expone en el proceso.

La seguridad, importante

Estamos, por tanto, ante un problema de seguridad que pone en riesgo la privacidad de los usuarios. Como siempre recomendamos, lo mejor es mantener nuestro equipo actualizado y con software de seguridad activados. Recientemente hablábamos de algunas de las mejores herramientas y programas de seguridad para proteger nuestro dispositivo frente a posibles amenazas que pongan en riesgo el buen funcionamiento del mismo.

También hemos visto que Firefox 57 lista las herramientas de terceros que puedan espiar a los usuarios. Así podremos seleccionar aquellas en las que no confiemos y poder frenar su uso.

Esta nueva versión, la de Firefox 57, está previsto que sea lanzada a final de este año. Traerá importantes novedades como es la implantación de las WebExtensions, algo que haría que muchas extensiones de Google Chrome, uno de los navegadores más utilizados a nivel mundial, sean compatibles. Aunque es cierto que habrá otras particulares que no sirvan para ambos navegadores.