I ricercatori di Google hanno scoperto che la tecnologia utilizzata da Apple per impedire il tracciamento degli utenti sul browser Safari non è sicura. Al contrario, le vulnerabilità del sistema Intelligent Tracking Prevention (ITP) possono paradossalmente consentire di raccogliere informazioni sull’attività di navigazione online e di accedere ai dati della cronologia web, mettendo la privacy degli internauti a rischio.
Secondo quanto riportato dal documento pubblicato dagli ingegneri di Google, sono moltiplici le falle di Safari riscontrate.
La funzione ITP, introdotta nel 2017, prevede l’impiego di strumenti di apprendimento automatico per limitare il tracciamento pervasivo di un utente, consentendo in modo selettivo quali siti web possano essere autorizzati al tracking.
Chi naviga online deve fronteggiare l’azione dei vari siti che attraverso i cookie registrano l’attività degli internauti via web anche per presentare annunci pubblicitari mirati. Il sistema anti-tracking intelligente di Safari, che sfrutta le tecnologie di machine learning e on-device (sul dispositivo), è stato predisposto per bloccare questo continuo e invasivo monitoraggio (cross-site).
Tuttavia, il meccanismo su cui si basa ITP non è immune da difetti lasciando esposti ad attacchi i dati degli utenti.
Più in particolare, a causa delle falle evidenziate, sarebbe possibile ottenere una lista dei siti visitati recentemente, creare un’impronta digitale per monitorare l’utente nella sua navigazione su Internet, o riuscire ad avere informazioni sui risultati di ricerca e su informazioni sensibili visualizzate da Safari.
Google ha provveduto a informare riservatamente fin dal mese di agosto scorso i responsabili dell’azienda di Cupertino, che hanno approntato modifiche, cercando di correggere i difetti della funzione anti-tracking.
A dicembre 2019, in un post del blog aziendale, John Wilander, ingegnere del team Webkit di Apple, ha illustrato in maniera estesa i correttivi apportati al browser. Anche se, Justin Schuh, manager di Google Chrome, ha segnalato su Twitter che le vulnerabilità non sono state ancora effettivamente risolte.