Uw browserextensies kunnen u beter traceerbaar maken
- Een onderzoeker heeft een website gemaakt die een unieke vingerafdruk genereert op basis van geïnstalleerde browserextensies.
- De vingerafdruk kan worden gebruikt om de gebruikers op internet te volgen, beweert de onderzoeker.
- Beveiligingsexperts raden aan om alle onnodige extensies te verwijderen om te voorkomen dat ze opvallen.
Thomas Jackson / Getty Images
De extensies in uw webbrowser kunnen worden gebruikt om u uniek te identificeren op internet.
Om mensen de kans te geven dit te ervaren, heeft een beveiligingsonderzoeker een website gemaakt die de geïnstalleerde Google Chrome-extensies analyseert om een vingerafdruk te genereren, die hij claimt kunnen worden gebruikt om ze online te volgen.
"Elke keer als er iets semi-unieks in een computer zit, kan het worden gebruikt om een vingerafdruk af te leiden," Erich Kroon, pleitbezorger voor beveiligingsbewustzijn met KnowBe4, vertelde Lifewire via e-mail. "Hoe uniek die vingerafdruk is, kan afhangen van wat er wordt gemeten of getest."
Browser-vingerafdrukken
De onderzoeker, die het pseudoniem gebruikt z0ccc, legde uit dat browservingerafdrukken een krachtige methode is die veel websites gebruiken om allerlei details over de bezoekers te verzamelen, waaronder: hun browsertype en -versie, hun besturingssysteem, actieve plug-ins, tijdzone, taal, schermresolutie en verschillende andere actieve instellingen.
Hij voerde aan dat hoewel deze gegevenspunten op zichzelf misschien niet veel nut hebben, ze, wanneer ze worden gecombineerd, op unieke wijze kunnen helpen identificeer één specifieke persoon, aangezien er een zeer kleine kans is dat meerdere mensen dezelfde set gegevens hebben punten.
Onze privacyregelgeving heeft veel in te halen.
"Websites gebruiken de informatie die browsers verstrekken om unieke gebruikers te identificeren en hun online gedrag te volgen", legt z0ccc uit. "Dit proces wordt daarom 'browservingerafdrukken' genoemd."
Op basis van de combinatie van geïnstalleerde extensies genereert de website een tracking-hash die kan worden gebruikt om die specifieke browser op internet te volgen.
De onderzoeker legde uit dat zijn Extensions Fingerprint-test afhankelijk is van bepaalde eigenschappen van browserextensies, waarvan hij zei dat ze aanwezig zijn in meer dan 1100 extensies, waaronder populaire zoals AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly en meer.
Hij gaf toe dat sommige extensies stappen ondernemen om detectie te voorkomen. Hij vond echter een truc om hun gedrag te gebruiken om te bepalen of een van deze beschermde extensies was geïnstalleerd.
In een interview, bevestigde z0ccc dat hoewel hij geen gegevens verzamelt over de geïnstalleerde extensies van mensen die zijn website gebruiken, zijn tests hebben aangetoond dat het hebben van 3+ extensies een unieke vingerafdruk.
In wezen zullen mensen zonder geïnstalleerde extensies dezelfde vingerafdruk hebben, waardoor ze minder uniek en moeilijk te volgen zijn. Omgekeerd zullen degenen met veel extensies een minder gebruikelijke vingerafdruk hebben, waardoor ze meer vatbaar zijn voor tracking.
Handschoenen zijn uit
In een e-maildiscussie met Lifewire, Harman Singh, Directeur bij cybersecurity dienstverlener cyphere, zei browservingerafdrukken is een bekende techniek die wordt gebruikt door online reclame- en marketingwebsites over de hele wereld.
Gegevensverzameling is een integraal onderdeel van het online advertentie-ecosysteem, legt Singh uit, en dit type browservingerafdrukken is gewoon een ander mechanisme om hen te helpen gerichte advertenties te tonen.
Bovendien voegde hij eraan toe dat zelfs financiële instellingen zoals banken deze browservingerafdrukmethoden als onderdeel gebruiken van hun fraudedetectiemechanismen om te detecteren of hun bezoeker een echte gebruiker is of een kwaadaardige anomalie zoals a bot.
Het nemen van vingerafdrukken in de browser is niet illegaal omdat het geen gebruiker identificeert. Het verzamelen van de gegevens wordt echter beheerst door privacywetten zoals de Algemene verordening gegevensbescherming (AVG) en de California Consumer Privacy Act (CCPA), voegde Singh eraan toe.
Sesam / Getty-afbeeldingen
Specifiek gesproken over z0ccc's Extension Fingerprints-test, legde Kron uit dat hoewel het interessant is vanuit een academisch perspectief, het beperkt lijkt in zijn bruikbaarheid in zijn huidige vorm.
"Bovendien heeft dit in mijn beperkte tests geen algemene extensies in de Edge-browser opgepikt, terugkerend dezelfde hash voor Chrome in de incognitomodus, zoals het deed [in] Edge met de LastPass-extensie geïnstalleerd," zei kroon. "Er zijn andere methoden voor vingerafdrukken die hardware gebruiken, berekeningen gemaakt door de geïnstalleerde grafische kaart, bijvoorbeeld, die iets moeilijker te omzeilen zijn."
Om ons te helpen suggesties te doen voor manieren waarop mensen dergelijke vingerafdrukken in de browser kunnen omzeilen, zei Singh dat een goede plek om te beginnen de Panoptiklik tool, die inzicht geeft in hoeveel en wat voor soort informatie uw webbrowser aan websites prijsgeeft.
Aan de andere kant is Kron van mening dat het altijd een goede gewoonte is om ongebruikte browserextensies te verwijderen of uit te schakelen.
"Voor internetgebruikers is het niet mogelijk om volledige bescherming tegen dergelijke trackingtechnieken te hebben, tenzij de wet dit voorschrijft", meende Singh. "Onze privacyregelgeving heeft veel in te halen."