Situs web masih dapat mendeteksi jika Anda menggunakan mode Penyamaran, terlepas dari perlindungan Google

Bulan lalu, kami melaporkan rencana Google untuk memperbaiki celah di FileSystem API yang sedang digunakan oleh situs web untuk mendeteksi apakah pengguna mengaksesnya melalui mode Incognito. Sementara perbaikan-perbaikan tersebut telah diterapkan, New York Times, entah bagaimana, masih mampu mendeteksi sesi penjelajahan pribadi ketika sampai pada paywalls-nya.

Bagaimana? Seperti yang dilaporkan TechDows, dua peneliti keamanan – Vikas Mishra dan Jesse Li – telah menemukan cara situs web dapat bekerja di sekitar perlindungan Google. Situs web sebelumnya memeriksa jika panggilan ke FileSystem API yang meminta untuk menulis langsung ke hard drive pengguna menghasilkan kesalahan sebagai indikasi bahwa mode Penyamaran diaktifkan. Google memperbaikinya dengan meminta Chrome untuk menulis data ke RAM, dan kemudian menghapusnya segera.

Namun, situs web sekarang dapat menggunakan API Manajemen Kuota untuk mengeksploitasi perbedaan dalam cara kutip penyimpanan sementara berbeda antara mode Penyamaran dan penelusuran biasa. Demikian pula, situs web juga dapat melacak kecepatan menulis untuk menentukan apakah data sedang ditulis ke hard drive atau RAM, karena kecepatan menulis pada RAM secara signifikan lebih cepat. Ini bisa menjadi cara tidak langsung lain untuk mendeteksi jika pengguna memiliki penjelajahan pribadi diaktifkan.

Google berjanji untuk memprioritaskan privasi penggunanya ketika mengumumkan perbaikan untuk FileSystem API dan berjanji untuk memperbaiki segala cara deteksi mode Penyamaran di masa mendatang. Tetap setia pada kata-katanya, pengembang peramban telah membuat laporan bug untuk dua celah ini dan kemungkinan akan memperbaikinya dalam waktu dekat.

Sumber: Vikas Mishra, Jesse Li via TechDows