Een kwetsbaarheid in Apple Safari, Google Chrome, Mozilla Firefox en Tor Browser maakt het mogelijk om gebruikers over meerdere browsers te volgen. Ook wanneer er gebruik wordt gemaakt van een vpn of de incognito-mode. Dat claimt FingerprintJS, een bedrijf dat fingerprintoplossingen voor bedrijven en websites ontwikkelt om gebruikers te identificeren en fraude tegen te gaan.

Sommige internetgebruikers gebruiken vanwege privacyredenen verschillende browsers. De kwetsbaarheid maakt het mogelijk voor trackers en websites om informatie over geïnstalleerde programma's op de computer te achterhalen om de gebruiker vervolgens een unieke identifier toe te kennen, ook wanneer er van browser wordt gewisseld of er van een vpn of de incognito-mode gebruik wordt gemaakt.

Websites kunnen kijken of een lijst met 32 populaire applicaties bij bezoekers is geïnstalleerd. Een proces dat een paar seconden in beslag neemt en zowel op Linux, macOS als Windows werkt. Om te kijken of een bepaald programma is geïnstalleerd kunnen browsers de ingebouwde url-handlers gebruiken.

Wanneer gebruikers bijvoorbeeld Skype hebben geinstalleerd en skype:// in de adresbalk invoeren verschijnt er een dialoogvenster waarin de browser aan de gebruiker vraagt of hij Skype wil starten. Elke applicatie kan zijn eigen url-handler installeren waarmee andere apps de applicatie kunnen openen.

Websites kunnen kijken welke url-handlers aanwezig zijn en zo achterhalen of een applicatie is geïnstalleerd of niet. Aan de hand van de applicatiegegevens in combinatie met machine learning zou het zelfs mogelijk zijn om zaken als beroep, interesses en leeftijd aan de hand van de data te achterhalen. In het geval van een aanval kan de browser heel even een pop-up of prompt laten zien, maar die kan eenvoudig worden gemist. In het geval van Tor Browser wordt echter geen enkel dialoogvenster getoond, omdat dit in de browser staat uitgeschakeld.

"Totdat deze kwetsbaarheid is verholpen, is de enige manier om je browse-sessies niet aan je primaire computer te koppelen een geheel ander apparaat te gebruiken", stelt Konstantin Darutkin van FingerprintJS. Van de vier browsers is Chrome de enige die al voor de publicatie door FingerprintJS van de kwetsbaarheid op de hoogte was. Het probleem is op de Chromium-bugtracker besproken en zou binnenkort moeten worden verholpen, aldus Darutkin.

Update

Tegelijkertijd met de publicatie van het artikel over de kwetsbaarheid heeft Darutkin de kwetsbaarheid ook bij Apple en Mozilla gerapporteerd.