Ključni izsledki
- Raziskovalec je ustvaril spletno stran, ki ustvari edinstven prstni odtis na podlagi nameščenih razširitev brskalnika.
- Prstni odtis se lahko uporablja za sledenje uporabnikom po spletu, trdi raziskovalec.
- Strokovnjaki za varnost predlagajo, da odstranite vse nepotrebne razširitve, da ne boste izstopali.
Razširitve v vašem spletnem brskalniku se lahko uporabijo za enolično identifikacijo v spletu.
Da bi ljudem dal priložnost, da to izkusijo, je varnostni raziskovalec ustvaril spletno mesto, ki analizira nameščene razširitve za Google Chrome, da ustvari prstni odtis, za katerega trdi, da ga je mogoče uporabiti za sledenje v spletu.
»Kadar koli je v računalniku nekaj napol unikatnega, se lahko uporabi za pridobitev prstnega odtisa,« je za Lifewire po elektronski pošti povedal Erich Kron, zagovornik ozaveščenosti o varnosti pri KnowBe4. "Kako edinstven je ta prstni odtis, je lahko odvisno od tega, kaj se meri ali testira."
prstni odtis brskalnika
Raziskovalec, ki uporablja psevdonim z0ccc, je pojasnil, da je prstni odtis brskalnika zmogljiva metoda, ki jo mnoga spletna mesta uporabljajo za zbiranje vseh vrst podrobnosti o obiskovalcih, vključno z vrsto in različico brskalnika, njihovim operacijskim sistemom, aktivnimi vtičniki, časom območje, jezik, ločljivost zaslona in različne druge aktivne nastavitve.
Trdil je, da čeprav te podatkovne točke same po sebi morda niso veliko uporabne, bi lahko v kombinaciji pomagale pri enolični identifikaciji ene določene osebe, saj obstaja zelo majhna možnost, da ima več ljudi isti nabor podatkovnih točk.
Naši predpisi o zasebnosti morajo še marsikaj dohiteti.
"Spletna mesta uporabljajo informacije, ki jih ponujajo brskalniki, za identifikacijo edinstvenih uporabnikov in sledenje njihovemu spletnemu vedenju," je pojasnil z0ccc. "Ta postopek se zato imenuje 'prstni odtis brskalnika'."
Na podlagi kombinacije nameščenih razširitev spletno mesto ustvari zgoščeno vrednost za sledenje, ki se lahko uporabi za sledenje določenemu brskalniku po spletu.
Raziskovalec je pojasnil, da se njegov test Extensions Fingerprint opira na nekatere lastnosti razširitev brskalnika, za katere je dejal, da so prisotne v več kot 1100 razširitvah, vključno s priljubljenimi, kot so AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, in več.
Priznal je, da nekatere razširitve sprejmejo ukrepe za preprečevanje odkrivanja. Vendar je našel trik, s katerim je uporabil njihovo vedenje, da bi ugotovil, ali je katera od teh zaščitenih razširitev nameščena.
V intervjuju je z0ccc potrdil, da čeprav ne zbira nobenih podatkov o nameščenih razširitvah od ljudi, ki uporabljajo njegovo spletno stran, so njegovi testi pokazali, da bo uporaba 3+ razširitev ustvarila edinstven prstni odtis.
V bistvu bodo imeli ljudje brez nameščenih razširitev enak prstni odtis, zaradi česar bodo manj edinstveni in jim bo težko slediti. Nasprotno pa bodo imeli tisti z veliko končnicami manj pogost prstni odtis, zaradi česar bodo bolj nagnjeni k sledenju.
Rokavice so slečene
V e-poštni razpravi z Lifewire je Harman Singh, direktor pri ponudniku storitev kibernetske varnosti Cyphere, dejal, da je prstni odtis brskalnika dobro znana tehnika, ki jo uporabljajo spletne strani za spletno oglaševanje in trženje po vsem svetu.
Zbiranje podatkov je sestavni del spletnega oglaševalskega ekosistema, je pojasnil Singh, in ta vrsta prstnih odtisov brskalnika je le še en mehanizem, ki jim pomaga pri prikazovanju ciljanih oglasov.
Poleg tega je dodal, da celo finančne institucije, kot so banke, uporabljajo te metode prstnih odtisov brskalnika kot del svojih mehanizmov za odkrivanje goljufij, da odkrijejo, ali je njihov obiskovalec pravi uporabnik ali zlonamerna anomalija, kot je bot.
Odvzem prstnih odtisov v brskalniku ni nezakonit, saj ne identificira uporabnika. Vendar pa zbiranje podatkov urejajo zakoni o zasebnosti, kot sta Splošna uredba o varstvu podatkov (GDPR) in Kalifornijski zakon o zasebnosti potrošnikov (CCPA), je dodal Singh.
Ko je govoril posebej o z0ccc-jevem testu Extension Fingerprints, je Kron pojasnil, da čeprav je zanimiv z akademskega vidika, se zdi, da je njegova uporabnost v trenutni obliki omejena.
"Poleg tega v mojem omejenem testiranju to ni izbralo običajnih razširitev v brskalniku Edge, pri čemer je vrnilo isto zgoščeno vrednost za Chrome v načinu brez beleženja zgodovine, kot je to storilo [v] Edge z nameščeno razširitvijo LastPass," je rekel Kron. "Obstajajo tudi druge metode odvzema prstnih odtisov, ki uporabljajo strojno opremo, na primer izračune, ki jih izvede nameščena grafična kartica, ki jih je morda nekoliko težje obiti."
Da bi nam pomagali predlagati načine, kako se lahko ljudje izognejo takemu prstnemu odtisu v brskalniku, je Singh dejal, da je dober začetek orodje Panopticlick, ki daje vpogled v to, koliko in kakšne informacije vaš spletni brskalnik razkrije spletnim mestom.
Po drugi strani pa Kron verjame, da je vedno dobro odstraniti ali onemogočiti neuporabljene razširitve brskalnika.
"Uporabniki interneta ne morejo imeti popolne zaščite pred takšnimi tehnikami sledenja, razen če tega narekuje zakon," je menil Singh. "Naši predpisi o zasebnosti morajo še marsikaj dohiteti."
