A partir de la versión 76 de Google Chrome se añadió como novedad una implementación de la API FileSystem (API de Sistema de Archivos) para el modo incógnito. Esta novedad se incluyó para prevenir que los sitios web pudiesen saber si este modo estaba en uso en función de la disponibilidad de esta API.
No obstante, la implementación que realiza no escribe a disco como es habitual, sino a memoria. Estas escrituras resultan mucho más rápidas y estables, lo que permite diferenciar fácilmente si el modo incógnito está en uso. Además, en esta modalidad la cuota de disco asignada es mucho menor, lo que ayuda a diferenciarlo.
El problema ya era conocido desde 2018 por los mismos desarrolladores de Chrome, proponiendo como alternativa cifrar los datos a disco y mantener los metadatos en memoria. No obstante, tal y como sugiere el investigador Jesse Li, que ha realizado esta investigación, cifrar los datos a disco dejaría evidencias para el resto de usuarios del sistema de que se está usando el modo incógnito por la mera existencia de estos ficheros cifrados y su tamaño.
El investigador ha publicado una Prueba de Concepto (PoC) para que cualquiera pueda comprobar en su máquina los resultados de su estudio, la cual también cuenta con una demo en su sitio web.
Más información:
Detecting incognito mode in Chrome 76 with a timing attack:
https://blog.jse.li/posts/chrome-76-incognito-filesystem-timing/
chrome-filesystem-timing:
https://github.com/veggiedefender/chrome-filesystem-timing
Demo:
https://jse.li/chrome-filesystem-timing/
El codigo criptografico disenado para resistir los ataques basados en el cache intenta usar memoria solo de un modo predecible (como seria acceder solo a la entrada, la salida y la informacion del programa siguiendo en todo momento un patron fijo).