파비콘(favicon) 캐시를 이용해 웹사이트 방문자에게 고유 식별자 를 부여하는 추적 기법으로, 사용자가 캐시나 쿠키를 삭제해도 식별 정보가 유지됨
이 방식은 시크릿 모드, VPN, 광고 차단기 사용 시에도 작동하며, 브라우저 재시작이나 시스템 재부팅 후에도 지속됨
브라우저가 파비콘을 요청하거나 캐시에서 불러오는 패턴 조합을 통해 고유한 식별 번호 를 생성함
Chrome, Firefox, Safari, Edge 등 주요 브라우저와 모바일 브라우저 가 이 취약점의 영향을 받음
브라우저 보안 및 개인정보 보호 측면에서 파비콘 캐시 관리의 중요성 이 부각됨
Supercookie 개요
Supercookie는 파비콘 캐시(F-Cache) 를 이용해 사용자를 식별하는 기술
파비콘은 웹사이트의 작은 아이콘으로, 브라우저 주소창이나 북마크 목록에 표시됨
브라우저는 파비콘을 빠르게 표시하기 위해 별도의 로컬 데이터베이스(F-Cache)에 저장함
F-Cache에는 방문 URL, 파비콘 ID, TTL(유효 기간) 정보가 포함됨
이 구조를 악용하면, 특정 URL 경로별 파비콘 요청 여부를 조합해 고유한 브라우저 패턴 을 생성할 수 있음
위협 모델
웹서버는 브라우저가 파비콘을 새로 요청하는지 여부를 통해 이전에 방문한 적이 있는지 판단 가능
캐시에 파비콘이 없으면 서버에 GET 요청이 발생하고, 있으면 요청이 생략됨
여러 경로의 파비콘 요청 상태를 조합하면 브라우저별 고유 식별 번호 를 생성할 수 있음
이 식별자는 쿠키 삭제, 캐시 초기화, VPN 사용, 헤더 조작 등 기존 추적 방지 조치에도 영향을 받지 않음
기존 쿠키와의 비교
표에 따르면 Supercookie는 100% 식별 정확도 를 가지며,
시크릿 모드 감지 , 캐시·쿠키 삭제 후에도 지속 , 여러 창 간 식별 , 안티트래킹 소프트웨어 우회 가 가능함
반면 일반 쿠키는 이러한 기능을 지원하지 않음
영향받는 브라우저
Chrome, Safari, Edge, Firefox 등 주요 브라우저가 취약함
Chrome: Windows, macOS, Linux, Android에서 영향
Safari: macOS, iOS에서 영향
Edge: Windows, macOS, Android에서 영향
Firefox: 일부 플랫폼에서 시크릿 모드 시 다른 지문 생성
Brave: 최신 버전에서는 대부분 차단됨
이전 버전의 Brave(1.14.0)와 Firefox(<84.0)는 이 공격에 취약함
확장성과 성능
리디렉션 경로 수(N)를 조정해 2^N개의 고유 사용자 를 구분 가능
구분 가능한 사용자가 많아질수록 읽기·쓰기 시간 이 증가함
N의 길이를 동적으로 조정해 리디렉션 수를 최소화할 수 있음
방어 방법
가장 확실한 방법은 파비콘 캐시를 완전히 비활성화하거나 수동으로 삭제 하는 것
Chrome(macOS): ~/Library/Application Support/Google/Chrome/Default/Favicons 및 Favicons-journal 삭제
Chrome(Windows): C:\Users\username\AppData\Local\Google\Chrome\User Data\Default 삭제
Safari(macOS): ~/Library/Safari/Favicon Cache 내용 삭제
Edge(macOS): ~/Library/Application Support/Microsoft Edge/Default/Favicon 및 Favicons-journal 삭제
프로젝트 목적 및 배경
본 저장소는 교육 및 시연용 으로 제작되었으며, 파비콘을 이용한 추적 가능성에 대한 보안 인식 제고 가 목적
영감은 University of Illinois Chicago 연구 논문 과 heise.de 기사 에서 비롯됨
프로젝트는 개인 연구의 일환으로 2일 만에 구현된 데모 포털 포함
기타
개발자는 독일 출신 20세 학생으로, 소프트웨어 디자인 및 IT 보안 분야 에 관심을 가짐
프로젝트는 GitHub에서 공개되어 있으며, Docker 또는 Node.js 환경 에서 실행 가능
관련 보도는 Vice, Gizmodo, TechRadar, Schneier.com 등 주요 매체 에서 다뤄짐