BrowserGate, il report che accusa LinkedIn di spiare il browser

Un’analisi tecnica ha portato alla luce un comportamento inatteso nella gestione della sicurezza lato browser da parte di LinkedIn.

La piattaforma, di proprietà Microsoft, avrebbe implementato uno script in grado di interrogare il browser degli utenti per rilevare la presenza di estensioni installate, arrivando a verificare migliaia di identificativi legati al catalogo Chrome. La scoperta ha sollevato interrogativi sulla privacy e sulle modalità di raccolta dei dati nei servizi web moderni, soprattutto considerando la diffusione globale del social professionale.

Il meccanismo individuato si basa sull’utilizzo di script JavaScript eseguiti lato client. In particolare, il codice tenta di accedere a risorse specifiche associate alle estensioni Chrome, sfruttando URL del tipo chrome-extension://, che includono identificativi univoci per ogni estensione.

Verificando la risposta del browser a queste richieste, lo script può determinare se una determinata estensione è installata. Ripetendo l’operazione per una lista molto ampia, si ottiene un profilo dettagliato dell’ambiente dell’utente.

LinkedIn nel mirino: oltre 6000 estensioni coinvolte

Secondo quanto emerso, il sistema controllava la presenza di oltre 6000 estensioni diverse. Questo approccio consente di raccogliere informazioni estremamente granulari, che possono includere strumenti di sicurezza, plugin per la produttività o estensioni legate alla privacy.

Dal punto di vista tecnico, si tratta di una forma avanzata di browser fingerprinting, che utilizza caratteristiche uniche del client per identificare o profilare l’utente senza ricorrere esclusivamente ai cookie tradizionali.

Oltre alle estensioni, lo script raccoglie anche informazioni sul dispositivo e sull’ambiente di navigazione. Tra questi dati rientrano parametri come sistema operativo, configurazione del browser e altre proprietà esposte dalle API web.

Queste informazioni possono essere utilizzate per diversi scopi: migliorare la sicurezza, rilevare comportamenti anomali o personalizzare l’esperienza utente. Tuttavia, la raccolta massiva e poco trasparente solleva dubbi sulla proporzionalità e sulla conformità alle normative sulla privacy.

Le implicazioni per la sicurezza

Il rilevamento delle estensioni può avere applicazioni legittime, ad esempio per identificare strumenti malevoli o incompatibili. Tuttavia, espone anche potenziali rischi. Alcune estensioni, infatti, rivelano informazioni sensibili sulle abitudini dell’utente o sulle tecnologie utilizzate. Inoltre, la tecnica stessa può essere sfruttata da attori malevoli per identificare vulnerabilità o target specifici, soprattutto se combinata con altre forme di fingerprinting.

Dopo la diffusione della notizia, LinkedIn ha modificato il comportamento dello script, riducendo o eliminando alcune delle verifiche più invasive. Questo suggerisce che la funzionalità fosse in fase di test o non completamente allineata alle aspettative di trasparenza.

Dal lato utente, esistono alcune contromisure tecniche. Browser moderni e estensioni dedicate alla privacy possono bloccare o limitare l’accesso a risorse come chrome-extension://, riducendo la possibilità di rilevamento. Anche l’uso di modalità di navigazione isolate o sandbox può contribuire a mitigare il problema.