Psylo, il browser “fingerprinting” per la privacy online: vantaggi e limiti

Psylo, l’architettura del “silo”

Il principio cardine di Psylo è il concetto di “silo”, un’implementazione che eleva il livello di isolamento delle sessioni di navigazione. Ogni scheda del browser opera come un ambiente di esecuzione indipendente e compartimentato, mirato a prevenire la correlazione dei dati tra sessioni.

L’implementazione garantisce che i dati di archiviazione locali (Local storage, session storage, IndexedDB) e i cookie siano scrupolosamente isolati per ciascun silo.

Ciò mitiga efficacemente le tecniche di tracciamento cross-site e cross-session che si basano sulla persistenza di identificatori o stato tra diverse interazioni dell’utente.

Uno degli aspetti più distintivi di Psylo è l’assegnazione di un indirizzo IP pubblico univoco e dinamico a ogni singolo silo. Il traffico di ciascuna scheda viene instradato attraverso la Mysk private proxy network proprietaria.

Ciò si discosta sostanzialmente dai modelli VPN tradizionali, che, pur celando l’IP reale dell’utente, presentano un singolo indirizzo IP di uscita per l’intero dispositivo, rendendo potenzialmente aggregabili le attività di navigazione sotto un unico profilo IP.

Meccanismi anti-fingerprinting

A complemento di questa segregazione a livello di rete, Psylo integra meccanismi avanzati di anti-fingerprinting. Viene implementata una perturbazione delle API di rendering grafiche (come Canvas API) per introdurre minime variazioni nel rendering, rendendo inefficaci le tecniche di fingerprinting basate sull’analisi delle impronte digitali generate dalle capacità di rendering del browser e della GPU.

Inoltre, Psylo allinea programmaticamente le impostazioni di locale e fuso orario del browser con la geolocalizzazione del server proxy utilizzato per il silo corrente.

Questa sincronizzazione aggiunge un ulteriore livello di offuscamento, presentando un profilo utente coerente con la posizione del proxy e riducendo le anomalie che potrebbero essere sfruttate per il fingerprinting.

Infine, ogni silo modifica strategicamente diverse proprietà del dispositivo (come User-Agent, risoluzione dello schermo, plugin ecc.) per rendere più difficile l’identificazione univoca del device.

Superiorità di Psylo rispetto alle soluzioni Vpn convenzionali

Le Vpn sono strumenti validi per la cifratura del traffico e l’occultamento dell’indirizzo IP.
Tuttavia la loro efficacia nel contrastare il browser fingerprinting è spesso limitata, poiché non intervengono sulla miriade di altri vettori informativi (caratteristiche del browser, configurazione hardware, fuso orario, font installati eccetera) che contribuiscono all’impronta digitale di un utente.

L’approccio di Psylo, che fonde una rete proxy isolata per scheda con contromisure anti-fingerprinting a livello di browser, offre una difesa più olistica e stratificata contro le tecniche di tracciamento avanzato.

Ciò permette a professionisti della cyber security, giornalisti investigativi o analisti di intelligence di condurre ricerche Osint o analisi di siti potenzialmente malevoli in un ambiente isolato, minimizzando il rischio di esposizione della propria identità o di contaminazione del proprio ambiente di lavoro.

Caso d’uso: un esempio

Per comprendere appieno la potenza dell’architettura a silo di Psylo, consideriamo uno scenario operativo comune per un professionista della cyber security.

Il contesto vede un analista che sta investigando una campagna di phishing particolarmente sofisticata.

Ha ottenuto tre diversi URL malevoli che sembrano far parte della stessa operazione, ma sono ospitati su server distinti, probabilmente per aumentare la resilienza dell’infrastruttura dell’attaccante.

L’obiettivo dell’analista è visitare ogni sito per raccogliere informazioni sulle tecniche utilizzate, sugli script di esfiltrazione dati e sugli IoC, senza che l’avversario si accorga che i diversi siti sono sotto esame dalla stessa entità.

L’approccio con strumenti tradizionali:

• browser standard: visitare i tre URL comporterebbe l’invio dello stesso indirizzo IP e della stessa impronta digitale del browser a ogni server. L’attaccante potrebbe facilmente correlare le visite e capire di essere sotto indagine;
• browser + Vpn: sebbene la Vpn mascheri l’IP reale dell’analista, tutte e tre le visite proverrebbero dallo stesso indirizzo IP del server Vpn. L’attaccante vedrebbe tre hit dallo stesso IP in rapida successione, un segnale di allarme che potrebbe portarlo a bloccare l’IP o a modificare il contenuto per depistare l’analisi;
• Tor browser: Tor fornirebbe circuiti diversi, e quindi IP di uscita diversi, ma richiederebbe di creare una nuova identità tra una visita e l’altra, un processo che resetta l’intera sessione. Inoltre, l’impronta di Tor browser è standardizzata e ben nota; un avversario attento potrebbe identificare il traffico come proveniente dalla rete Tor e reagire di conseguenza.

La soluzione con Psylo

L’analista utilizza Psylo per condurre l’indagine in modo compartimentato e non correlabile, aprendo:

• il primo URL nel Silo 1: Psylo assegna a questa scheda un indirizzo IP pubblico, per esempio localizzato a Francoforte, in Germania. Allo stesso tempo, modifica il profilo del browser per apparire come un utente Chrome su Windows, con un fuso orario coerente (CET). L’analista interagisce con il sito e raccoglie i dati.
• il secondo URL in un nuovo Silo 2: questa seconda scheda opera in un ambiente completamente isolato. Psylo assegna un nuovo indirizzo IP, questa volta localizzato a New York, negli USA. Il profilo del browser viene alterato per simulare un utente Safari su macOS, con fuso orario EST.
• il terzo URL nel Silo 3: anche in questo caso, viene creato un contesto di esecuzione separato. La scheda riceve un IP da Singapore e un profilo fingerprint che emula un browser Firefox su una distribuzione Linux.

Il risultato strategico

Dal punto di vista dell’infrastruttura avversaria, non c’è stata alcuna indagine coordinata. I log dei server degli attaccanti mostrano tre visite completamente distinte e non correlate, provenienti da tre continenti diversi e da tre profili tecnici eterogenei.

Non esiste alcun elemento che possa collegare le tre analisi.

Questo permette all’analista di:

• massimizzare la raccolta di intelligence senza allertare l’avversario;
• proteggere la propria identità e l’infrastruttura della sua organizzazione;
• aggirare eventuali blocchi geografici o tecniche di cloaking che l’attaccante potrebbe aver implementato per servire contenuti malevoli solo a specifici target.

Confronto fra Psylo e le alternative per la privacy

Per comprendere appieno il valore di Psylo, è fondamentale analizzarne il posizionamento rispetto ad altre soluzioni di navigazione focalizzate sulla privacy, ognuna con i propri punti di forza e limitazioni, specialmente nell’ecosistema iOS.

Tor browser (e Onion browser su iOS)

Tor browser (Onion browser su iOS) è lo standard di riferimento per l’anonimato a livello di rete. Instradando il traffico attraverso una rete di relay, offre un elevato grado di anonimato e resistenza alla censura. Implementa forti contromisure anti-fingerprinting standardizzando molte proprietà del browser, come le dimensioni della finestra, i font e lo User-Agent, per rendere gli utenti indistinguibili tra loro.

Tuttavia, su iOS Onion browser (la sua implementazione più vicina) è vincolato dalla restrizione di Apple che impone l’utilizzo del motore di rendering WKWebView per tutti i browser di terze parti.

Questa limitazione impedisce a Onion browser di implementare alcune delle contromisure anti-fingerprinting più avanzate disponibili nella versione desktop di Tor, come l’isolamento completo dei siti web o la protezione avanzata da fingerprinting JavaScript.

Inoltre, la navigazione tramite la rete Tor è intrinsecamente più lenta a causa del routing multi-hop, un compromesso accettabile per l’anonimato ma non ideale per l’uso quotidiano.

Brave browser

Brave Browser si posiziona come un browser privacy-first che blocca di default pubblicità, tracker di terze parti e cookie. Per contrastare il fingerprinting, adotta tecniche di randomizzazione e blocca le API note utilizzate a tal fine.

Offre inoltre una funzionalità di navigazione con Tor integrata in schede private, ma con le limitazioni di cui sopra per iOS.

Similmente a Tor, anche Brave su iOS deve aderire a WKWebView, il che può limitare l’efficacia di alcune delle sue protezioni anti-fingerprinting più robuste, pienamente realizzate solo nelle versioni desktop.

La randomizzazione delle impronte può portare a una unicità apparente del
browser che, sebbene non identifichi l’utente, lo rende comunque distinguibile.

DuckDuckGo

Il browser DuckDuckGo si concentra principalmente sul blocco dei tracker di terze parti ed offre un motore di ricerca che non traccia gli utenti. Include protezioni contro il fingerprinting, bloccando tentativi di combinare informazioni su browser e dispositivi e dispone di funzionalità come il Fire Button per cancellare rapidamente i dati di navigazione.

Anche DuckDuckGo opera entro i confini di WKWebView su iOS, il che impone limitazioni simili a quelle di Brave per quanto riguarda l’anti-fingerprinting profondo.

Le sue protezioni, sebbene efficaci contro i tracker comuni, potrebbero non essere altrettanto sofisticate nel contrastare le tecniche più avanzate di fingerprinting persistente che Psylo mira a combattere.

Non offre l’isolamento IP per scheda.

Tre caratteristiche anti-tracciamento di Psylo

In questo contesto, Psylo si distingue colmando una lacuna critica, in particolare nell’ambiente iOS, attraverso tre caratteristiche fondamentali:

• isolamento IP per Scheda: nessun altro browser su iOS offre la capacità di assegnare un indirizzo IP pubblico distinto e dinamico a ogni singola scheda. Questo va ben oltre il concetto di Vpn (che fornisce un IP unico per l’intero dispositivo) o di Tor (che cambia l’IP per sessione ma non isola le schede in modo così granulare). Per un attaccante, tentare di correlare attività è significativamente più complesso quando ogni interazione proviene da un IP e un profilo ambientale potenzialmente diversi;
• anti-fingerprinting avanzato su WKWebView: Psylo dimostra come sia possibile implementare misure di anti-fingerprinting sofisticate all’interno delle restrizioni di WKWebView su iOS. Mysk ha capitalizzato la propria expertise nella ricerca sulla privacy per sviluppare tecniche che bypassano le limitazioni della piattaforma, offrendo un livello di protezione che altri browser su iOS, pur lodevoli, non riescono a raggiungere pienamente;
• filosofia di non correlazione: mentre Tor mira a far “confondere” l’utente in una folla di altri utenti Tor (rendendoli identici), e Brave randomizza l’impronta (rendendola diversa a ogni sessione, ma non necessariamente isolata per contesto), Psylo punta a rendere ogni singola interazione (silo) non correlabile con le altre, fornendo un’identità effimera e specifica per ogni task.

In sintesi, Psylo non cerca di sostituire completamente Tor per l’anonimato estremo (che ha un costo in termini di performance), né di essere una semplice alternativa a Brave o DuckDuckGo per il blocco di base dei tracker.

Invece, Psylo si posiziona come una soluzione unica per l’isolamento contestuale della privacy e l’anti-fingerprinting avanzato su dispositivi mobili iOS, offrendo un livello di granularità e protezione che le alternative attuali non riescono a eguagliare.

Implicazioni per la cyber security

Psylo rappresenta uno strumento strategico per elevare il livello di sicurezza operativa per utenti che necessitano di elevato anonimato, inclusi ricercatori di sicurezza, redattori in contesti sensibili e attivisti.

Per i team di Threat intelligence e i ricercatori di sicurezza, Psylo offre un ambiente controllato per l’analisi di IoC, reverse engineering di malware o investigazione di campagne di phishing senza rischio di correlazione con le infrastrutture interne o le identità dei ricercatori.

Dal punto di vista difensivo, l’adozione di strumenti come Psylo da parte di attori malevoli potrebbe complicare significativamente le indagini forensi e i processi di attribution, rendendo più difficile la tracciabilità delle attività online.

Mysk ha dimostrato una notevole competenza nell’implementare queste funzionalità avanzate su iOS, considerando le limitazioni imposte da Apple ai browser di terze parti (che tipicamente si basano su WKWebView).

L’utilizzo di script client-side JavaScript per alcune tecniche di anti-fingerprinting evidenzia un approccio ingegneristico sofisticato.

Psylo è un servizio in abbonamento. La trasparenza di Mysk, con la politica zero-log e la gestione anonima degli abbonamenti (tramite acquisti in-app di Apple), è un fattore cruciale per la fiducia della comunità della cyber security.

Valutazione delle criticità

Nonostante le sue innovative capacità di isolamento e anti-fingerprinting, Psylo, come ogni soluzione tecnologica, presenta intrinseche criticità sia sul fronte della sicurezza sia su quello funzionale.

Criticità di sicurezza

Le promesse di privacy di Psylo si basano su un’architettura che delega parte della fiducia a Mysk, l’entità che gestisce la rete proxy. Questo aspetto introduce punti di scrutinio significativi.

La sicurezza di Psylo dipende intrinsecamente dall’integrità e dalle politiche di non-logging della Mysk private proxy network.

Sebbene Mysk abbia una reputazione solida per la ricerca sulla privacy, dichiari una politica zero-log e di gestire in maniera anonima gli abbonamenti, gli utenti devono riporre fiducia nella veridicità di queste affermazioni.

A differenza di una rete decentralizzata come Tor, dove il traffico è crittografato e ri-instradato attraverso nodi gestiti da entità diverse (riducendo il rischio di un singolo punto di compromissione), Psylo centralizza il servizio proxy sotto il controllo di Mysk.

Una compromissione dei server proxy di Mysk o un’alterazione delle politiche interne (anche se altamente improbabile data la missione dichiarata) rappresenterebbe una vulnerabilità diretta.

Le potenziali vulnerabilità di Psylo

Inoltre, sebbene l’uso di JavaScript client-side per l’anti-fingerprinting sia una dimostrazione di ingegno nell’ambiente WKWebView di iOS, espone il codice a potenziali vulnerabilità.

Errori nell’implementazione, bug logici o exploit nel motore JavaScript stesso di WKWebView potrebbero compromettere l’efficacia delle protezioni di fingerprinting o, in scenari peggiori, portare a data leakage.

La sicurezza di queste contromisure deve essere continuamente validata contro nuove tecniche di fingerprinting. Anche con IP distinti per ogni scheda, threat actor competenti potrebbero tentare di correlare attività tramite side-channel attack, come i timing attacks sulla latenza delle connessioni o l’analisi dei pattern di navigazione.

Sebbene mitigato dall’isolamento IP e dal fuzzing, il rischio non è completamente eliminato, specialmente in scenari di persistenza su siti ad alto controllo.

Essendo un’applicazione iOS, Psylo è infine soggetto alle politiche e agli aggiornamenti di sicurezza di Apple.

Modifiche future a WKWebView o alle API di rete di iOS potrebbero potenzialmente alterare o limitare l’efficacia delle tecniche di offuscamento di Psylo, richiedendo aggiornamenti rapidi da parte di Mysk per mantenere la protezione.

Criticità funzionali di Psylo

Oltre alle preoccupazioni di sicurezza intrinseche, vi sono aspetti funzionali che possono influenzare l’usabilità e l’adozione da parte di un pubblico più ampio.

Il costo dell’abbonamento, sebbene il modello di business sia comprensibile data l’infrastruttura di rete e la ricerca continua necessaria, rappresenta una barriera all’ingresso per alcuni utenti che potrebbero optare per soluzioni gratuite, seppur meno robuste.

Il cap di 50 GB mensili di traffico, sebbene sufficiente per la maggior parte degli utilizzi individuali, potrebbe non essere adeguato per utenti che svolgono attività ad alta intensità di dati, come il download frequente di file di grandi dimensioni o lo streaming intensivo.

Ciò potrebbe limitare l’applicabilità in certi contesti professionali (per esempio, analisi di grandi set di dati).

Sebbene Mysk si impegni per l’efficienza, l’instradamento del traffico attraverso una rete proxy introduce inevitabilmente un overhead di latenza rispetto alla connessione diretta.

Per operazioni che richiedono tempi di risposta critici, questa latenza aggiuntiva potrebbe essere un fattore limitante.

Attualmente, Psylo è esclusivo per iOS/iPadOS; l’assenza di versioni per altre piattaforme ne limita l’utilità per chi cerca una soluzione di privacy coerente e unificata su tutti i propri dispositivi.

Infine, sebbene il concetto di silo sia potente per la privacy, potrebbe richiedere un certo adattamento da parte degli utenti abituati a un’esperienza di navigazione unificata.

Le tecniche di offuscamento avanzate potrebbero, in rari casi, causare problemi di compatibilità con siti web particolarmente complessi o con sistemi di rilevamento bot aggressivi, sebbene questo sia un compromesso comune in strumenti di privacy così spinti.

Prospettive future: ecco gli interrogativi che Psylo solleva

Psylo di Mysk non è semplicemente un nuovo strumento nel già affollato arsenale della privacy, ma rappresenta un potenziale cambio di passo nel modo in cui concepiamo la difesa dalla sorveglianza digitale.

La sua architettura, fondata sull’isolamento contestuale dei silo, non si limita a nascondere l’utente, ma gli permette di frammentare la propria identità digitale in entità effimere e non correlabili, un approccio tatticamente superiore per molte operazioni sensibili.

L’innovazione di Psylo solleva tuttavia interrogativi cruciali:

• il futuro della navigazione è l’isolamento? Riuscirà il concetto di silo a migrare da strumento d’élite per specialisti a funzionalità standard integrata nei browser mainstream, magari come evoluzione della modalità Incognito?
• Come reagirà l’industria del tracciamento? L’ascesa di strumenti come Psylo potrebbe accelerare lo sviluppo di tecniche di fingerprinting ancora più resilienti e invasive, capaci di rilevare e neutralizzare questi ambienti virtualizzati.
• Assisteremo a una biforcazione della privacy? Il futuro potrebbe vedere due modelli dominanti coesistere: da un lato, l’anonimato di massa basato sul confondersi nella folla (filosofia di Tor) e, dall’altro, l’isolamento granulare e contestuale per la gestione di identità multiple (filosofia di Psylo).

In definitiva, Psylo è più di un’applicazione: è un manifesto tecnico che sfida lo status quo.

Dimostra che anche all’interno degli ecosistemi restrittivi come quello di Apple è possibile innovare radicalmente per la protezione della privacy. Per i professionisti, comprendere e persino anticipare queste evoluzioni non è più solo una questione di adozione di nuovi tool, ma una necessità strategica per difendere, analizzare e operare in un ambiente digitale la cui complessità è destinata solo a crescere.

La vera battaglia non è per la privacy di oggi, ma per definire quale forma avrà la nostra identità digitale domani.