Võtmed kaasavõtmiseks
- Teadlane on loonud veebisaidi, mis loob installitud brauserilaiendite põhjal ainulaadse sõrmejälje.
- Sõrmejälge saab kasutada kasutajate jälgimiseks kogu veebis, väidab uurija.
- Turvaeksperdid soovitavad eemaldada kõik mittevajalikud laiendused, et vältida silma paistmist.
Teie veebibrauseri laiendusi saab kasutada teie veebis ainulaadseks tuvastamiseks.
Et anda inimestele võimalus seda kogeda, on turvateadlane loonud veebisaidi, mis analüüsib installitud Google Chrome'i laiendusi, et luua sõrmejälg, mida saab tema väitel kasutada nende võrgus jälgimiseks.
"Iga kord, kui arvutis on midagi poolunikaalset, saab seda kasutada sõrmejälje saamiseks," ütles KnowBe4 turvateadlikkuse advokaat Erich Kron Lifewire'ile meili teel. "Kui ainulaadne see sõrmejälg on, võib sõltuda sellest, mida mõõdetakse või testitakse."
Brauseri sõrmejäljed
Pseudonüümi z0ccc kasutav uurija selgitas, et brauseri sõrmejälgede võtmine on võimas meetod, mida paljud veebisaidid kasutavad külastajate kohta igasuguste üksikasjade kogumiseks, sealhulgas nende brauseri tüüp ja versioon, operatsioonisüsteem, aktiivsed pistikprogrammid, aeg. tsoon, keel, ekraani eraldusvõime ja mitmesugused muud aktiivsed seaded.
Ta väitis, et kuigi neist andmepunktidest ei pruugi iseenesest palju kasu olla, võivad need kombineerituna aidata ühe konkreetse isiku ainulaadselt tuvastada, kuna on väga väike võimalus, et mitmel inimesel on samad andmepunktid.
Meie privaatsuseeskirjadel on palju järele jõuda.
"Veebisaidid kasutavad brauserite pakutavat teavet unikaalsete kasutajate tuvastamiseks ja nende võrgukäitumise jälgimiseks," selgitas z0ccc. "Seepärast nimetatakse seda protsessi brauseri sõrmejälgede võtmiseks."
Paigaldatud laienduste kombinatsiooni põhjal loob veebisait jälgimisräsi, mida saab kasutada selle konkreetse brauseri jälgimiseks kogu veebis.
Teadlane selgitas, et tema laienduste sõrmejälgede test tugineb teatud brauseri laiendite atribuutidele, mis on tema sõnul olemas enam kui 1100 laienduses, sealhulgas populaarsetes laiendustes, nagu AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, ja palju muud.
Ta tunnistas, et mõned laiendused võtavad meetmeid tuvastamise takistamiseks. Siiski leidis ta nipi, kuidas nende käitumist kasutada, et teha kindlaks, kas mõni neist kaitstud laiendustest on installitud.
Ühes intervjuus kinnitas z0ccc, et kuigi ta ei kogu tema veebisaiti kasutavatelt inimestelt installitud laienduste kohta andmeid, on tema testid näidanud, et 3+ laienduse olemasolu loob ainulaadse sõrmejälje.
Sisuliselt on inimestel, kellel pole installitud laiendusi, sama sõrmejälg, mis muudab nad vähem ainulaadseks ja raskesti jälgitavaks. Seevastu neil, kellel on palju laiendeid, on vähem levinud sõrmejälg, mis muudab need jälgimisele kalduvamaks.
Kindad on käes
Lifewire'iga peetud meilivestluses ütles küberjulgeolekuteenuse pakkuja Cyphere'i direktor Harman Singh, et brauseri sõrmejälgede võtmine on tuntud tehnika, mida kasutavad veebireklaamide ja -turunduse veebisaidid kogu maailmas.
Andmete kogumine on veebireklaamide ökosüsteemi lahutamatu osa, selgitas Singh, ja seda tüüpi brauseri sõrmejälgede võtmine on vaid järjekordne mehhanism, mis aitab neil sihitud reklaame esitada.
Lisaks lisas ta, et isegi finantsasutused, nagu pangad, kasutavad neid brauseri sõrmejälgede võtmise meetodeid oma pettuste tuvastamise mehhanismide osana, et tuvastada, kas nende külastaja on tõeline kasutaja või pahatahtlik anomaalia nagu bot.
Brauseri sõrmejälgede võtmine ei ole ebaseaduslik, kuna see ei tuvasta kasutajat. Andmete kogumist reguleerivad aga privaatsusseadused, nagu isikuandmete kaitse üldmäärus (GDPR) ja California tarbijate privaatsusseadus (CCPA), lisas Singh.
Rääkides konkreetselt z0ccc laienduste sõrmejälgede testist, selgitas Kron, et kuigi see on akadeemilisest vaatenurgast huvitav, tundub selle kasulikkus praegusel kujul olevat piiratud.
"Lisaks ei leidnud see minu piiratud testimise käigus Edge'i brauseris levinud laiendusi, tagastades sama räsi inkognito režiimis Chrome'i jaoks, nagu Edge'is installitud LastPassi laiendusega, " ütles Kron. "On olnud ka teisi riistvara kasutavaid sõrmejälgede võtmise meetodeid, näiteks installitud graafikakaardi tehtud arvutusi, mille ümbertöötamine võib olla pisut raskem."
Singhi sõnul on Singhi sõnul hea koht alustamiseks Panopticlicki tööriistast, mis annab ülevaate sellest, kui palju ja millist teavet teie veebibrauser veebisaitidele avaldab.
Teisest küljest usub Kron, et kasutamata brauserilaiendite eemaldamine või keelamine on alati hea tava.
"Interneti-kasutajate jaoks ei ole selliste jälgimistehnikate vastu täielik kaitse võimalik, kui see pole seadusega ette nähtud," arvas Singh. "Meie privaatsuseeskirjadel on palju järele jõuda."
