Rozšíření vašeho prohlížeče vás mohou lépe sledovat
- Výzkumník vytvořil webovou stránku, která generuje jedinečný otisk prstu na základě nainstalovaných rozšíření prohlížeče.
- Otisk prstu lze použít ke sledování uživatelů na webu, tvrdí výzkumník.
- Bezpečnostní experti doporučují odstranit všechna nepotřebná rozšíření, abyste se vyhnuli vyčnívání.
Thomas Jackson / Getty Images
Rozšíření ve vašem webovém prohlížeči lze použít k vaší jedinečné identifikaci na webu.
Aby to lidé měli možnost zažít, má bezpečnostní výzkumník vytvořili webovou stránku která analyzuje nainstalovaná rozšíření Google Chrome a vygeneruje otisk prstu, který on tvrdí lze použít k jejich sledování online.
"Kdykoli je v počítači něco napůl jedinečného, lze to použít k odvození otisku prstu," Erich Kron, obhájce povědomí o bezpečnosti s KnowBe4, řekl Lifewire e-mailem. "Jak jedinečný je otisk prstu může záviset na tom, co se měří nebo testuje."
Fingerprinting prohlížeče
Výzkumník, který používá pseudonym z0ccc, vysvětlil, že otisky prstů v prohlížeči jsou výkonnou metodou, kterou mnoho webových stránek používá ke shromažďování všech druhů podrobností o návštěvnících, včetně jejich typ a verze prohlížeče, jejich operační systém, aktivní pluginy, časové pásmo, jazyk, rozlišení obrazovky a různé další aktivní nastavení.
Argumentoval tím, že i když tyto datové body nemusí být samy o sobě příliš užitečné, v kombinaci mohou pomoci jedinečně identifikovat jednu konkrétní osobu, protože existuje velmi malá šance, že více lidí bude mít stejnou sadu dat body.
Naše předpisy o ochraně osobních údajů mají hodně co dohánět.
„Webové stránky využívají informace, které poskytují prohlížeče, k identifikaci jedinečných uživatelů a sledování jejich online chování,“ vysvětlil z0ccc. "Tento proces se proto nazývá 'otisky prstů v prohlížeči'."
Na základě kombinace nainstalovaných rozšíření web vygeneruje sledovací hash, který lze použít ke sledování konkrétního prohlížeče na webu.
Výzkumník vysvětlil, že jeho test Extensions Fingerprint spoléhá na určité vlastnosti rozšíření prohlížeče, které jsou podle něj přítomny ve více než 1100 rozšířeních, včetně těch oblíbených, jako jsou AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly a více.
Připustil, že některá rozšíření podnikají kroky k zabránění odhalení. Našel však trik, jak pomocí jejich chování zjistit, zda bylo nainstalováno některé z těchto chráněných rozšíření.
V rozhovoru, z0ccc potvrdil, že ačkoli neshromažďuje žádná data týkající se nainstalovaných rozšíření z lidí, kteří používají jeho web, jeho testy ukázaly, že mít 3+ rozšíření vytvoří jedinečný otisk prstu.
V podstatě lidé bez nainstalovaných rozšíření budou mít stejný otisk prstu, takže budou méně unikátní a obtížně sledovatelní. Naopak ty s mnoha rozšířeními budou mít otisk prstu méně obvyklý, takže budou náchylnější ke sledování.
Rukavice jsou vypnuté
V e-mailové diskusi s Lifewire, Harman Singh, Director ve společnosti cybersecurity service provider Cyphere, řekl, že otisky prstů v prohlížeči jsou dobře známou technikou používanou online reklamními a marketingovými weby po celém světě.
Sběr dat je nedílnou součástí online reklamního ekosystému, vysvětlil Singh, a tento typ otisků prstů v prohlížeči je jen dalším mechanismem, který jim pomáhá poskytovat cílené reklamy.
Dále dodal, že i finanční instituce jako banky používají tyto metody snímání otisků prstů v prohlížeči jako součást jejich mechanismů detekce podvodů, aby zjistili, zda je jejich návštěvník skutečným uživatelem nebo škodlivou anomálií, jako je a bot.
Snímání otisků prstů v prohlížeči není nezákonné, protože neidentifikuje uživatele. Shromažďování údajů se však řídí zákony na ochranu soukromí, jako je např Obecné nařízení o ochraně osobních údajů (GDPR) a Kalifornský zákon na ochranu soukromí spotřebitelů (CCPA), dodal Singh.
Sezam / Getty Images
Když mluvil konkrétně o testu Extension Fingerprints testu z0ccc, Kron vysvětlil, že i když je zajímavý z akademického hlediska, zdá se, že jeho užitečnost je ve své současné podobě omezená.
"Navíc v mém omezeném testování toto nezachytilo běžná rozšíření v prohlížeči Edge a vrátilo se stejný hash pro Chrome v režimu inkognito, jako to udělal [v] Edge s nainstalovaným rozšířením LastPass,“ řekl Kron. "Existují i jiné metody snímání otisků prstů, které využívají hardware, například výpočty provedené nainstalovanou grafickou kartou, které by mohly být trochu obtížnější."
Aby nám Singh pomohl navrhnout způsoby, jak lidem pomoci obejít takové otisky prstů prohlížeče, řekl Singh, že dobrým místem pro začátek je Panopticlick nástroj, který poskytuje přehled o tom, kolik a jaké informace váš webový prohlížeč poskytuje webům.
Na druhou stranu, Kron věří, že je vždy dobrým zvykem odstranit nebo zakázat nepoužívaná rozšíření prohlížeče.
"Pro uživatele internetu není možné mít úplnou ochranu proti takovým sledovacím technikám, pokud to není nařízeno zákonem," míní Singh. "Naše předpisy o ochraně soukromí mají hodně co dohánět."