Onderzoekers van de Universiteit van Chicago waarschuwen voor een methode om gebruikers op het internet te volgen met behulp van favicons. Dat zijn icoontjes die domeinen meegeven om ze makkelijk identificeerbaar maken in de interface.
De onderzoekers claimen dat een malafide domein een specifieke combinatie van favicons opslaat op de machine van een gebruiker en ze zo volgt. De favicons worden in meerdere populaire browsers opgeslagen in een cache die niet geleegd wordt of buitenspel gezet wordt in private browsing. Daardoor kan een domein een specifieke gebruiker volgen, zelfs als zij cookies blokkeren, privé browsen en andere fingerprinting-technieken dwarsbomen. Browsers melden de aanwezigheid van een relevante favicon in de cache aan de website die ze bezoeken, om zo bandbreedte te besparen.
Een malafide website zet een bepaalde combinatie van favicons op het systeem van een doelwit, waaraan ze dan te herkennen zijn bij een herhaald bezoek. Hoe groter de hoeveelheid bezoekers een website heeft, hoe meer verschillende favicons en redirects langs subdomeinen met favicons er nodig zijn. Zelfs met een website die bijna 4,3 miljard unieke browsers moet volgen, zijn 32 redirects echter genoeg. Dat kan volgens een rekenvoorbeeld van de onderzoekers in twee seconden gedaan zijn.
De onderzoekers hebben de makers van de getroffen browsers op de hoogte gesteld. Dat zijn Chrome, Safari en Edge. Google zegt al aan een fix te werken, Apple zegt naar de bevindingen van het onderzoek te kijken en Microsoft was niet op tijd bereikbaar, aldus Ars Technica. De Brave Browser was ook vatbaar, maar de makers van die browser hebben de kwetsbaarheid opgelost. Firefox hoort eigenlijk ook in het rijtje getroffen browsers, maar door een bug werkt de exploit bij die browser niet. Als workaround zouden gebruikers favicons kunnen uitschakelen, hoewel men er wel zeker van moet zijn dat ze ook daadwerkelijk niet opgeslagen worden en niet alleen niet getoond worden in de interface.