Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Fingerprinting w przeglądarkach internetowych to zestaw technik pozwalających identyfikować i śledzić użytkownika bez użycia tradycyjnych mechanizmów, takich jak pliki cookie. W przypadku podatności oznaczonej jako CVE-2026-6770 problem dotyczył komponentu Storage: IndexedDB i wpływał na model prywatności w Firefox oraz Tor Browser.
Luka nie prowadziła do zdalnego wykonania kodu ani przejęcia urządzenia, ale umożliwiała korelację aktywności użytkownika pomiędzy różnymi domenami. To szczególnie istotne w kontekście narzędzi, które mają ograniczać śledzenie i wzmacniać anonimowość.
W skrócie
- Podatność umożliwiała tworzenie stabilnego identyfikatora użytkownika bez użycia cookies.
- Problem obejmował także tryb Private Browsing w Firefox.
- W Tor Browser osłabiał działanie funkcji New Identity.
- Luka została załatana w Firefox 150 oraz Tor Browser 15.0.10.
Kontekst / historia
Firefox od lat rozwija mechanizmy ograniczające śledzenie użytkowników, natomiast Tor Browser wykorzystuje jego silnik i rozszerza go o dodatkowe warstwy izolacji sesji oraz anonimizacji ruchu. W założeniu funkcje prywatnościowe tych narzędzi mają utrudniać powiązanie kolejnych wizyt użytkownika między witrynami i sesjami.
Incydent związany z CVE-2026-6770 pokazał jednak, że nawet bezpośrednio niewidoczny detal implementacyjny może osłabić taki model ochrony. Problem nie wynikał z klasycznego naruszenia polityki same-origin, lecz z obserwowalnego zachowania API przeglądarki, które mogło zostać wykorzystane jako kanał boczny do śledzenia.
Analiza techniczna
Źródłem problemu był sposób obsługi nazw baz danych IndexedDB. W określonych warunkach kolejność zwracanych baz pozostawała stabilna dla różnych witryn działających w tym samym procesie przeglądarki. Ta przewidywalność tworzyła subtelny, ale praktyczny mechanizm korelacji.
W efekcie niezależne domeny mogły obserwować podobne odpowiedzi interfejsu IndexedDB i na tej podstawie wnioskować, że odwiedza je ten sam użytkownik. Co istotne, nie wymagało to dostępu do współdzielonych danych aplikacyjnych ani klasycznych identyfikatorów śledzących.
Największy problem stanowiła trwałość takiego identyfikatora w obrębie uruchomionego procesu przeglądarki. Mógł on przetrwać przeładowanie strony, a nawet rozpoczęcie nowej sesji prywatnej, dopóki użytkownik całkowicie nie zamknął i nie uruchomił ponownie przeglądarki. W Tor Browser oznaczało to osłabienie gwarancji zapewnianych przez funkcję New Identity.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem luki była możliwość korelacji aktywności użytkownika pomiędzy różnymi stronami internetowymi, a w określonych scenariuszach także częściowa deanonymizacja. Dla użytkowników Firefox oznaczało to osłabienie ochrony prywatności, nawet w trybie prywatnym.
Dla użytkowników Tor Browser ryzyko było większe, ponieważ podatność naruszała jedno z podstawowych założeń tego narzędzia, czyli skuteczne odcinanie kolejnych tożsamości sesyjnych. Szczególnie narażone mogły być osoby działające w środowiskach wysokiego ryzyka, takie jak dziennikarze, aktywiści, badacze czy sygnaliści.
- sieci reklamowe mogły budować stabilniejsze identyfikatory użytkowników,
- złośliwe strony mogły łączyć wizyty na różnych domenach,
- zaawansowani przeciwnicy mogli analizować wzorce aktywności mimo stosowania narzędzi anonimizujących.
Rekomendacje
Podstawowym działaniem naprawczym jest aktualizacja przeglądarki do wersji zawierającej poprawkę. Dotyczy to Firefox 150 oraz Tor Browser 15.0.10 lub nowszych. W środowiskach zarządzanych aktualizacje powinny być wdrażane możliwie szybko i objęte standardowym monitoringiem zgodności.
Warto również pamiętać, że tryb prywatny nie zapewnia pełnej ochrony przed fingerprintingiem. To mechanizm ograniczający lokalne ślady aktywności, a nie gwarancja pełnej anonimowości wobec witryn internetowych i zewnętrznych mechanizmów korelacji.
- wymuszać szybkie aktualizacje przeglądarek i narzędzi prywatnościowych,
- śledzić biuletyny bezpieczeństwa producentów,
- uwzględniać kanały boczne w modelach zagrożeń,
- w scenariuszach wysokiego ryzyka wykonywać pełny restart przeglądarki po zakończeniu sesji,
- testować aplikacje webowe także pod kątem nieoczywistych wektorów śledzenia i korelacji między originami.
Podsumowanie
CVE-2026-6770 to przykład luki, która nie prowadzi do kompromitacji systemu, ale istotnie osłabia prywatność użytkownika. Problem związany z IndexedDB pokazał, że nawet drobne właściwości implementacyjne silnika przeglądarki mogą zostać wykorzystane do tworzenia stabilnych identyfikatorów śledzących.
Przypadek Firefox i Tor Browser przypomina, że bezpieczeństwo nowoczesnych przeglądarek należy oceniać nie tylko przez pryzmat błędów typu memory corruption, lecz także w kontekście odporności na fingerprinting, izolacji sesji i ochrony anonimowości. Aktualizacja oprogramowania pozostaje najważniejszym środkiem zaradczym.
Źródła
- SecurityWeek — Firefox Vulnerability Allows Tor User Fingerprinting — https://www.securityweek.com/firefox-vulnerability-allows-tor-user-fingerprinting/
- Mozilla Foundation Security Advisory 2026-30 — Security Vulnerabilities fixed in Firefox 150 — https://www.mozilla.org/en-US/security/advisories/mfsa2026-30/
- The Tor Project Blog — New Release: Tor Browser 15.0.10 — https://blog.torproject.org/new-release-tor-browser-15010/