Proširenja vašeg preglednika mogu vas učiniti lakšim za praćenje

June 22, 2022
UVijesti Sigurnost Na Internetu

click fraud protection

Istraživač je napravio web stranicu koja generira jedinstveni otisak prsta na temelju instaliranih proširenja preglednika.
Otisak prsta može se koristiti za praćenje korisnika na cijelom webu, tvrdi istraživač.
Stručnjaci za sigurnost predlažu uklanjanje svih nepotrebnih ekstenzija kako ne bi došlo do isticanja.

Nadzorna kamera usmjerena izravno na zaslon prijenosnog računala. — Thomas Jackson / Getty Images

Proširenja u vašem web pregledniku mogu se koristiti za jedinstvenu identifikaciju na webu.

Da bi ljudima pružio priliku da to iskuse, istraživač sigurnosti je napravio izradio web stranicu koji analizira instalirana proširenja za Google Chrome kako bi generirao otisak prsta, koji on tvrdi može se koristiti za njihovo praćenje na mreži.

"Kad god postoji nešto polu-jedinstveno u računalu, može se koristiti za dobivanje otiska prsta", Erich Kron, zagovornik svijesti o sigurnosti s KnowBe4, rekao je za Lifewire putem e-pošte. "Koliko je taj otisak jedinstven može ovisiti o tome što se mjeri ili testira."

Otisak prsta preglednika

Istraživač, koji koristi pseudonim

z0ccc, objasnio je da je otisak prsta u pregledniku moćna metoda koju mnoge web stranice koriste za prikupljanje svih vrsta pojedinosti o posjetiteljima, uključujući njihovu vrstu i verziju preglednika, njihov operativni sustav, aktivne dodatke, vremensku zonu, jezik, razlučivost zaslona i razne druge aktivne postavke.

Tvrdio je da, iako ove podatkovne točke same po sebi možda neće biti od velike koristi, kada se kombiniraju, mogle bi pomoći na jedinstven način identificirati jednu određenu osobu, budući da postoji vrlo mala šansa da više ljudi ima isti skup podataka bodova.

Naši propisi o privatnosti imaju puno toga za nadoknaditi.

"Web-stranice koriste informacije koje preglednici pružaju za identifikaciju jedinstvenih korisnika i praćenje njihovog ponašanja na mreži", objasnio je z0ccc. "Ovaj se proces stoga naziva 'preglednik otiska prsta'."

Na temelju kombinacije instaliranih proširenja, web-mjesto generira hash za praćenje koji se može koristiti za praćenje tog određenog preglednika na cijelom webu.

Istraživač je objasnio da se njegov test otiska prsta Extensions oslanja na određena svojstva proširenja preglednika, za koja je rekao da su prisutna u više od 1100 proširenja, uključujući ona popularna kao što su AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly i više.

Priznao je da neka proširenja poduzimaju korake kako bi spriječili otkrivanje. Međutim, pronašao je trik kako iskoristiti njihovo ponašanje kako bi utvrdio je li bilo koje od tih zaštićenih proširenja instalirano.

U intervjuu, z0ccc je potvrdio da iako ne prikuplja nikakve podatke o instaliranim proširenjima od ljudi koji koriste njegovu web stranicu, njegovi testovi su pokazali da će imati 3+ proširenja stvoriti jedinstvenu otisak prsta.

U suštini, ljudi bez instaliranih ekstenzija imat će isti otisak prsta, što ih čini manje jedinstvenim i teško ih je pratiti. S druge strane, oni s mnogo ekstenzija imat će manje uobičajen otisak prsta, što ih čini sklonijim praćenju.

Rukavice su skinute

U raspravi putem e-pošte s Lifewireom, Harman Singh, direktor pružatelja usluga kibernetičke sigurnosti Cyphere, rekao je da je uzimanje otisaka prstiju u pregledniku dobro poznata tehnika koju koriste internetske stranice za oglašavanje i marketing diljem svijeta.

Prikupljanje podataka sastavni je dio ekosustava online oglašavanja, objasnio je Singh, a ova vrsta otiska prsta preglednika samo je još jedan mehanizam koji im pomaže u posluživanju ciljanih reklama.

Nadalje, dodao je da čak i financijske institucije poput banaka koriste ove metode otiska prsta u pregledniku kao dio njihovih mehanizama za otkrivanje prijevare kako bi otkrili je li njihov posjetitelj pravi korisnik ili zlonamjerna anomalija poput bot.

Otisak prsta u pregledniku nije protuzakonit jer ne identificira korisnika. Međutim, prikupljanje podataka regulirano je zakonima o privatnosti kao što su Opća uredba o zaštiti podataka (GDPR) i Kalifornijski zakon o privatnosti potrošača (CCPA), dodao je Singh.

Konceptna slika grupe ljudi koji prate web preglednik. — Sesame / Getty Images

Govoreći konkretno o z0ccc testu Extension Fingerprints, Kron je objasnio da, iako je zanimljiv iz akademske perspektive, čini se ograničenom u svojoj korisnosti u svom trenutnom obliku.

„Osim toga, u mom ograničenom testiranju, ovo nije pokupilo uobičajena proširenja u pregledniku Edge, vraćajući se isti hash za Chrome u anonimnom načinu rada, kao što je bio [u] Edge s instaliranim nastavkom LastPass", rekao je Kron. "Postoje i druge metode uzimanja otiska prsta koje koriste hardver, izračune napravljene od strane instalirane grafičke kartice, na primjer, koje bi moglo biti malo teže zaobići."

Kako bi nam pomogao u predlaganju načina na koje ljudi mogu pomoći u zaobilaženju takvog otiska prstiju u pregledniku, Singh je rekao da je dobro mjesto za početak Panopticlick alat koji daje uvid u to koliko i kakve informacije vaš web preglednik otkriva web stranicama.

S druge strane, Kron vjeruje da je uvijek dobra praksa ukloniti ili onemogućiti nekorištena proširenja preglednika.

"Za korisnike interneta nije moguće imati potpunu zaštitu od takvih tehnika praćenja osim ako to ne diktira zakon", smatra Singh. "Naši propisi o privatnosti moraju dosta toga sustići."