Jūsų naršyklės plėtiniai gali padėti lengviau sekti

June 22, 2022
ĮŽinios Interneto Apsauga

Tyrėjas sukūrė svetainę, kuri generuoja unikalų piršto atspaudą pagal įdiegtus naršyklės plėtinius.
Tyrėjas tvirtina, kad pirštų atspaudas gali būti naudojamas sekti vartotojus visame žiniatinklyje.
Saugos ekspertai siūlo pašalinti visus nereikalingus plėtinius, kad neišsiskirtumėte.

Stebėjimo kamera buvo nukreipta tiesiai į nešiojamojo kompiuterio ekraną. — Thomas Jackson / Getty Images

Jūsų žiniatinklio naršyklėje esantys plėtiniai gali būti naudojami siekiant unikaliai identifikuoti jus žiniatinklyje.

Kad žmonės turėtų galimybę tai patirti, saugumo tyrėjas turi sukūrė svetainę kuri analizuoja įdiegtus „Google Chrome“ plėtinius, kad sugeneruotų piršto atspaudą, kuris jis tvirtina gali būti naudojamas juos stebėti internete.

„Kiekvienu metu kompiuteryje yra kažkas pusiau unikalaus, jį galima panaudoti piršto atspaudui gauti. Erichas Kronas, saugumo supratimo advokatas su KnowBe4, sakė Lifewire el. paštu. "Koks unikalus yra tas pirštų atspaudas, gali priklausyti nuo to, kas matuojama ar išbandoma."

Naršyklės pirštų atspaudai

Tyrėjas, kuris naudoja pseudonimą

z0ccc, paaiškino, kad naršyklės pirštų atspaudų ėmimas yra galingas metodas, kurį daugelis svetainių naudoja įvairiai informacijai apie lankytojus rinkti, įskaitant naršyklės tipą ir versiją, operacinę sistemą, aktyvius papildinius, laiko juostą, kalbą, ekrano skiriamąją gebą ir įvairius kitus aktyvius nustatymus.

Jis tvirtino, kad nors šie duomenų taškai patys savaime gali būti nenaudingi, kartu jie gali padėti unikaliai nustatyti vieną konkretų asmenį, nes yra labai maža tikimybė, kad keli žmonės turės tą patį duomenų rinkinį taškų.

Mūsų privatumo taisyklės turi daug ką pasivyti.

„Svetainės naudoja informaciją, kurią pateikia naršyklės, kad nustatytų unikalius vartotojus ir sektų jų elgesį internete“, – paaiškino z0ccc. „Todėl šis procesas vadinamas „naršyklės pirštų atspaudų ėmimu“.

Remdamasi įdiegtų plėtinių deriniu, svetainė generuoja stebėjimo maišą, kurią galima naudoti norint sekti konkrečią naršyklę žiniatinklyje.

Tyrėjas paaiškino, kad jo plėtinių pirštų atspaudų testas priklauso nuo tam tikrų naršyklės plėtinių savybių, kurios, jo teigimu, yra daugiau nei 1100 plėtinių, įskaitant populiarius, tokius kaip AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly ir daugiau.

Jis pripažino, kad kai kurie plėtiniai imasi veiksmų, kad būtų išvengta aptikimo. Tačiau jis rado triuką, kaip panaudoti jų elgesį, kad nustatytų, ar kuris nors iš šių apsaugotų plėtinių buvo įdiegtas.

Interviu, z0ccc patvirtino, kad nors jis nerenka jokių duomenų apie įdiegtus plėtinius iš žmonių, kurie naudojasi jo svetaine, jo testai parodė, kad turėdami 3 ir daugiau plėtinių sukursite unikalų piršto atspaudas.

Iš esmės žmonės, neturintys įdiegtų plėtinių, turės tą patį pirštų atspaudą, todėl jie bus mažiau unikalūs ir sunkiai atsekami. Ir atvirkščiai, tie, kurie turi daug plėtinių, turės retesnį pirštų atspaudą, todėl juos bus lengviau sekti.

Pirštinės nuimtos

El. pašto diskusijoje su Lifewire Harmanas Singhas, kibernetinio saugumo paslaugų teikėjo direktorius Sifera, sakė, kad naršyklės pirštų atspaudų ėmimas yra gerai žinomas būdas, naudojamas internetinės reklamos ir rinkodaros svetainėse visame pasaulyje.

Duomenų rinkimas yra neatsiejama internetinės reklamos ekosistemos dalis, paaiškino Singhas, o tokio tipo naršyklės pirštų atspaudų ėmimas yra tik dar vienas mechanizmas, padedantis joms teikti tikslines reklamas.

Be to, jis pridūrė, kad net tokios finansų institucijos kaip bankai naudoja šiuos naršyklės pirštų atspaudų ėmimo metodus kaip dalį sukčiavimo aptikimo mechanizmų, siekiant nustatyti, ar jų lankytojas yra tikras vartotojas, ar kenkėjiška anomalija, pvz., botas.

Naršyklės pirštų atspaudų ėmimas nėra neteisėtas, nes jis neidentifikuoja vartotojo. Tačiau duomenų rinkimą reglamentuoja privatumo įstatymai, tokie kaip Bendrasis duomenų apsaugos reglamentas (BDAR) ir Kalifornijos vartotojų privatumo įstatymas (CCPA), pridūrė Singhas.

Grupės žmonių, stebinčių žiniatinklio naršyklę, koncepcija. — Sezamas / Getty Images

Kalbėdamas konkrečiai apie z0ccc plėtinio pirštų atspaudų testą, Kronas paaiškino, kad nors jis įdomus akademiniu požiūriu, atrodo, kad jo naudingumas dabartinė forma yra ribotas.

„Be to, atliekant ribotą testavimą, „Edge“ naršyklėje tai nepasirinko įprastų plėtinių, todėl grįžo ta pati maiša, skirta „Chrome“ inkognito režimu, kaip ir „Edge“ su įdiegtu „LastPass“ plėtiniu. Kron. „Buvo ir kitų pirštų atspaudų ėmimo metodų, kuriuose naudojama aparatinė įranga, pavyzdžiui, įdiegtos grafikos plokštės atlikti skaičiavimai, kuriuos gali būti šiek tiek sunkiau apeiti.

Norėdamas padėti mums pasiūlyti būdus, kaip žmonėms padėti apeiti tokį naršyklės pirštų atspaudų ėmimą, Singhas sakė, kad gera vieta pradėti yra Panopticlick įrankis, leidžiantis suprasti, kiek ir kokios informacijos interneto naršyklė atskleidžia svetainėms.

Kita vertus, Kronas mano, kad visada yra gera praktika pašalinti arba išjungti nenaudojamus naršyklės plėtinius.

„Interneto naudotojams neįmanoma turėti visiškos apsaugos nuo tokių sekimo metodų, nebent to reikalauja įstatymas“, – teigė Singhas. „Mūsų privatumo taisyklės turi daug ką pasivyti.