Mozilla / Tor Project

Vulnerabilidad de privacidad en Firefox y Tor Browser: IndexedDB expone un identificador de proceso persistente

configuration-drift

causa raíz

Timeline del incidente

Descubrimiento de una vulnerabilidad de privacidad en navegadores basados en Firefox (incluido Tor Browser) que permite a los sitios web derivar un identificador único y estable del proceso del navegador.

Se identifica que la API indexedDB.databases() devuelve las entradas en un orden derivado de estructuras de almacenamiento internas (hash table) en lugar de un orden neutral o de creación.

Se determina que el orden de las entradas es determinista y persistente durante la vida útil del proceso de Firefox, y es compartido entre orígenes, incluso en modo de navegación privada y con la función 'Nueva Identidad' de Tor Browser.

· Investigadores de seguridad

Divulgación responsable del problema a Mozilla y al Tor Project.

· Mozilla

Mozilla lanza un parche en Firefox 150 y ESR 140.10.0 para solucionar el problema, canonicalizando o ordenando los resultados antes de devolverlos.

Análisis técnico

La vulnerabilidad de privacidad descubierta en navegadores basados en Firefox, incluyendo Tor Browser, se originó en la implementación de IndexedDB. Específicamente, la API indexedDB.databases() exponía un identificador único y persistente del proceso del navegador. Esto ocurría porque el orden de las entradas devueltas por la API no era neutral, sino que reflejaba el orden interno de iteración de una nsTHashSet utilizada para almacenar los nombres de las bases de datos.

La causa raíz reside en que, en el modo de navegación privada, los nombres de las bases de datos se mapeaban a UUIDs a través de una tabla hash global (gStorageDatabaseNameHashtable) que persistía durante la vida útil del proceso de Firefox y era compartida entre todos los orígenes. Cuando se invocaba indexedDB.databases(), los nombres de las bases de datos se insertaban en una nsTHashSet sin ningún tipo de ordenamiento posterior. La iteración sobre esta nsTHashSet resultaba en un orden determinista basado en el layout interno de la tabla hash, los valores UUID generados y el historial de inserción.

Esta exposición de un detalle de implementación interna, que se suponía que no debía contener información sensible, permitió el fingerprinting. Las salvaguardas de privacidad, como el modo de navegación privada de Firefox y la función 'Nueva Identidad' de Tor Browser, fallaron porque el identificador persistía a través de sesiones y orígenes, rompiendo las expectativas de aislamiento y desvinculación del usuario. La alta capacidad de entropía (hasta 44 bits con 16 nombres de bases de datos) hacía que este identificador fuera robusto para el seguimiento.

Remediaciones y action items

✓ Canonicalizar o ordenar los resultados devueltos por `indexedDB.databases()` (ej. orden lexicográfico) antes de exponerlos a la web, eliminando la entropía derivada del layout interno del almacenamiento.
✓ Asegurar que los detalles de implementación interna que puedan generar identificadores estables y persistentes no sean expuestos a través de APIs web, especialmente en contextos de privacidad.

Lecciones para arquitectos

→ Cualquier detalle de implementación determinista y persistente, incluso si parece inofensivo, puede convertirse en un vector de fingerprinting o seguimiento.
→ Las garantías de privacidad deben ser validadas contra la exposición de cualquier estado de proceso o sistema que pueda ser observado por múltiples orígenes o persistir más allá de los límites de sesión esperados.
→ La aleatorización o canonicalización de la salida de APIs que exponen listas o conjuntos de datos es crucial para evitar la fuga de información de ordenación interna.
→ Las estructuras de datos internas (como hash tables) y sus patrones de iteración pueden introducir entropía no deseada si su orden no es explícitamente controlado o neutralizado.
→ La seguridad por oscuridad no es una estrategia efectiva; los detalles de implementación pueden ser inferidos y explotados si son deterministas y observables.
→ Las características de privacidad en navegadores (ej. modo incógnito, 'Nueva Identidad') deben ser diseñadas para aislar completamente el estado del proceso, no solo el estado de origen o sesión.
→ La colaboración y divulgación responsable son fundamentales para la rápida resolución de vulnerabilidades de seguridad y privacidad en software de código abierto.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp