Vaše razširitve brskalnika vam lahko olajšajo sledenje

June 22, 2022
VNovice Internet In Varnost

Raziskovalec je ustvaril spletno mesto, ki generira edinstven prstni odtis na podlagi nameščenih razširitev brskalnika.
Prstni odtis se lahko uporablja za sledenje uporabnikom po spletu, trdi raziskovalec.
Strokovnjaki za varnost predlagajo, da odstranite vse nepotrebne razširitve, da ne bi izstopali.

Nadzorna kamera, usmerjena neposredno na zaslon prenosnega računalnika. — Thomas Jackson / Getty Images

Razširitve v vašem spletnem brskalniku se lahko uporabljajo za edinstveno identifikacijo v spletu.

Da bi ljudem dali priložnost, da to izkusijo, ima varnostni raziskovalec ustvaril spletno stran ki analizira nameščene razširitve za Google Chrome, da ustvari prstni odtis, ki trdi jih lahko uporabite za sledenje na spletu.

"Kadar koli je v računalniku nekaj napol edinstvenega, ga je mogoče uporabiti za pridobivanje prstnega odtisa," Erich Kron, zagovornik varnostne ozaveščenosti s KnowBe4, je za Lifewire povedal po elektronski pošti. "Kako edinstven je ta prstni odtis, je lahko odvisno od tega, kaj se meri ali testira."

Prstni odtis brskalnika

Raziskovalec, ki uporablja psevdonim

z0ccc, je pojasnil, da je prstni odtis brskalnika zmogljiva metoda, ki jo številna spletna mesta uporabljajo za zbiranje vseh vrst podrobnosti o obiskovalcih, vključno z njihova vrsta in različica brskalnika, njihov operacijski sistem, aktivni vtičniki, časovni pas, jezik, ločljivost zaslona in razni drugi aktivni nastavitve.

Trdil je, da čeprav te podatkovne točke same po sebi morda ne bodo veliko uporabne, bi lahko v kombinaciji pomagale edinstveno identificirati eno določeno osebo, saj obstaja zelo majhna možnost, da ima več ljudi enak niz podatkov točke.

Naši predpisi o zasebnosti imajo veliko za dohiteti.

"Spletna mesta uporabljajo informacije, ki jih posredujejo brskalniki, da identificirajo edinstvene uporabnike in spremljajo njihovo spletno vedenje," je pojasnil z0ccc. "Ta postopek se zato imenuje 'brskalni prstni odtis'."

Na podlagi kombinacije nameščenih razširitev spletno mesto ustvari hash za sledenje, ki se lahko uporablja za sledenje določenemu brskalniku po spletu.

Raziskovalec je pojasnil, da se njegov test prstnega odtisa razširitev opira na določene lastnosti razširitev brskalnika, za katere je dejal, da so prisotne v več kot 1100 razširitvah, vključno s priljubljenimi, kot so AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly in več.

Priznal je, da nekatere razširitve sprejmejo ukrepe za preprečevanje odkrivanja. Vendar je našel trik, s katerim je uporabil njihovo vedenje, da bi ugotovil, ali je katera od teh zaščitenih razširitev nameščena.

V intervjuju, z0ccc je potrdil, da čeprav ne zbira nobenih podatkov o nameščenih razširitvah od ljudi, ki uporabljajo njegovo spletno mesto, so njegovi testi pokazali, da bo s 3+ razširitvami ustvaril edinstven prstni odtis.

V bistvu bodo imeli ljudje brez nameščenih razširitev enak prstni odtis, zaradi česar bodo manj edinstveni in jih je težko slediti. Nasprotno pa bodo imeli tisti z veliko razširitvami manj običajen prstni odtis, zaradi česar bodo bolj nagnjeni k sledenju.

Rokavice so izključene

V e-poštni razpravi z Lifewire, Harman Singh, direktor ponudnika storitev kibernetske varnosti Cyphere, je dejal, da je prstni odtis brskalnika dobro znana tehnika, ki jo uporabljajo spletna mesta za spletno oglaševanje in trženje po vsem svetu.

Zbiranje podatkov je sestavni del spletnega oglaševalskega ekosistema, je pojasnil Singh, ta vrsta prstnih odtisov brskalnika pa je le še en mehanizem, ki jim pomaga pri prikazovanju ciljno usmerjenih oglasov.

Poleg tega je dodal, da celo finančne institucije, kot so banke, uporabljajo te metode prstnih odtisov v brskalniku kot del njihovih mehanizmov za odkrivanje goljufij, da odkrijejo, ali je njihov obiskovalec resničen uporabnik ali zlonamerna anomalija, kot je bot.

Prstni odtis brskalnika ni nezakonit, saj ne identificira uporabnika. Vendar pa zbiranje podatkov urejajo zakoni o zasebnosti, kot je npr Splošna uredba o varstvu podatkov (GDPR) in Kalifornijski zakon o zasebnosti potrošnikov (CCPA), je dodal Singh.

Konceptna podoba skupine ljudi, ki sledijo spletnemu brskalniku. — Sesame / Getty Images

Ko je govoril posebej o z0ccc-jevem testu Extension Fingerprints, je Kron pojasnil, da čeprav je zanimiv z akademskega vidika, se zdi omejen v svoji uporabnosti v svoji trenutni obliki.

"Poleg tega v mojem omejenem testiranju to ni pobralo običajnih razširitev v brskalniku Edge in se vrnilo enak hash za Chrome v načinu brez beleženja zgodovine, kot je bil [v] Edge z nameščeno razširitvijo LastPass,« je dejal Kron. "Obstajale so tudi druge metode odvzema prstnih odtisov, ki uporabljajo strojno opremo, na primer izračune, ki jih naredi nameščena grafična kartica, ki bi jih bilo lahko nekoliko težje obvladati."

Da bi nam pomagali predlagati načine, kako bi ljudje pomagali zaobiti takšne prstne odtise brskalnika, je Singh dejal, da je dober začetek Panopticlick orodje, ki daje vpogled v to, koliko in kakšne informacije vaš spletni brskalnik razkrije spletnim mestom.

Po drugi strani pa Kron meni, da je vedno dobra praksa odstraniti ali onemogočiti neuporabljene razširitve brskalnika.

"Za uporabnike interneta ni mogoče imeti popolne zaščite pred takšnimi tehnikami sledenja, razen če to narekuje zakon," meni Singh. "Naši predpisi o zasebnosti morajo veliko dohiteti."