EDICIóN GENERAL

Informe confirma uso de supercookies para rastrear móviles

#12 +1 Movistar. Penoso
#11 #12 #15 #18 #26 #43 #61 #62 #7 He montado un script en mi servidor para ver las cabeceras:

gejo.org/cabeceras_http/

Si entras con el WIFI desactivado, busca la línea:
X-UP-SUBNO: 034XXXXXXXXXXXXXXXXX (en el caso de Movistar)
Si está ahí estás siendo rastreado. Tu operador inyecta ese identificador, que es único para tu tarjeta SIM. Da igual que cambies de móvil.
Activando WIFI y recargando verás que esa cabecera desaparece. Comparando las cabeceras por WIFI y por móvil puedes saber lo que añade tu operador.

Con esta información, varias webs pueden asociarse para compartir esa información y saber si has visitado algún otro de los asociados. Aún peor: si introduces otros datos durante tu visita (nombre, dirección, email...) se pueden relacionar inequívocamente con tu SIM para elaborar una completa base de datos con tu identidad, tus gustos y tus hábitos de navegación.

El código del script en PHP es bastante sencillo.
Comparto por si lo queréis probar vosotros mismos:

<?php
if( !function_exists('apache_request_headers') ) {
function apache_request_headers() {
$arh = array();
$rx_http = '/AHTTP_/';
foreach($_SERVER as $key => $val) {
if( preg_match($rx_http, $key) ) {
$arh_key = preg_replace($rx_http, '', $key);
$rx_matches = array();
$rx_matches = explode('_', $arh_key);
if( count($rx_matches) > 0 and strlen($arh_key) > 2 ) {
foreach($rx_matches as $ak_key => $ak_val) $rx_matches[$ak_key] = ucfirst($ak_val);
$arh_key = implode('-', $rx_matches);
}
$arh[$arh_key] = $val;
}
}
return( $arh );
}
}
$headers = apache_request_headers();
foreach ($headers as $header => $value){
echo "$header: $value <br />n";
}
?>


Simplemente obtiene las cabeceras mediante la función apache_request_headers (y la define si la configuración del servidor no la acepta, como es mi caso).

No recopilo ninguna información (aunque sería muy fácil), sólo la muestro en pantalla.
#65 hare la prueba tambien compartiendo internet con el portatil, aunque imagino que no cambiara el resultado.

Montandolo para que use una vpn me podria cargar la cabecera?
#67 He hecho la prueba compartiendo internet con otro cacharro (tethering), y en mi caso no pasan las cabeceras de rastreo.
Se puede configurar una vpn de manera que elimine determinadas cabeceras de las peticiones http. Si puedes probarlo, me interesaría saber si te ha dado buen resultado.
#68 acabo de hacer la prueba configurando un servidor vpn en casa usando no-ip. Al hacer la prueba con 3G la cabecera desaparece. Si la navegacion no se resiente se quedara asi
#68 Por VPN nunca deberían ser marcados los datos, al ir cifrados.
Por tethering en cambio es raro (e interesante) que no los marquen, en los Iphone sí que lo tienen fácil porque el teléfono te pone otro APN, pero en Android creo que en principio tienen que detectarlo por el UserAgent, MTU... si a través de tethering no los marcan quiere decir que hay una forma de evitar el marcado, aunque posiblemente difícil (lo recomendable es mandarles a la mierda).
En #70 quería decir: al ir cifrados dentro de un túnel cifrado.

menéame