Digitální tisk pomocí plátna

Snímání otisků prstů na plátně  je jednou z online metod snímání otisků pomocí zařízení pro sledování uživatelů , která webovým stránkám umožňuje identifikovat a sledovat návštěvníky pomocí HTML5 Canvas bez použití souborů cookie nebo jiných podobných prostředků. Této metodě se v roce 2014 dostalo značné pozornosti médií [1] [2] [3] [4] poté, co ji výzkumníci z Princetonské univerzity a KU Leuven popsali ve svém článku Web nikdy nezapomíná . [5]

Popis

Digitální otisky prstů na plátně fungují pomocí prvku HTML5 Canvas . Jak popsal Gunesh Akar a další: [5]

Varianty, které mají nainstalovanou grafickou procesorovou jednotku (GPU) nebo grafický ovladač, mohou změnit digitální otisk. Otisk prstu může být uložen a sdílen s partnery k identifikaci uživatelů při návštěvě přidružených webových stránek. Profil lze vytvořit na základě online aktivity uživatele, což inzerentům umožňuje cílit reklamy na zamýšlené demografické údaje a preference uživatele. [3] [6]

Do ledna 2022 byl tento koncept rozšířen na výkonovou specifikaci pro grafický hardware, kterou výzkumníci nazvali DrawnApart . [7]

Jedinečnost

Protože otisk prstu je primárně závislý na kombinacích možných nastavení prohlížeče, operačního systému a nainstalovaného grafického hardwaru, neidentifikuje uživatele jednoznačně. V malé studii s 294 účastníky z Amazon Mechanical Turk byla pozorována experimentální entropie 5,7 bitů. Autoři studie naznačují, že ve volných podmínkách lze pozorovat větší hodnotu nejistoty rozdělení pravděpodobnosti a při velkém množství parametrů použitých v otisku prstu. I když tento otisk sám o sobě nestačí k identifikaci jednotlivých uživatelů, lze jej zkombinovat s jinými zdroji entropie a vytvořit jedinečný identifikátor. Tvrdí se, že protože tato metoda účinně zachycuje otisk GPU, je míra nejistoty rozdělení pravděpodobnosti „ortogonální“ k entropii předchozích metod snímání otisků v prohlížeči, jako je rozlišení obrazovky a schopnost prohlížeče zpracovávat požadavky JavaScriptu. [osm]

Jednoznačnější identifikace pomocí DrawnApart zveřejněná v roce 2022. A když se použije k vylepšení jiných metod, prodlouží dobu sledování jednotlivých digitálních otisků prstů o 67 %. [7]

Historie

V květnu 2012 Keaton Mowery a Hovav Shaham, výzkumníci z Kalifornské univerzity v San Diegu , napsali „Pixel Perfect: HTML5 Fingerprint Canvas“ popisující, jak lze HTML5 Canvas použít ke generování digitálních otisků prstů online uživatelů. [3] [8]

Společnost AddThis , která se zabývá technologií sociálních záložek, začala začátkem roku 2014 experimentovat s digitálním otiskem prstů pomocí Canvas jako potenciální náhrady souborů cookie . 5 % ze 100 000 nejlepších webových stránek použilo na své back-end infrastruktuře otisky prstů Canvas. [9] Podle generálního ředitele AddThis Richarda Harrise použila společnost data z těchto testů pouze pro interní výzkum. Uživatelé se budou moci odhlásit ze shromažďování dat souborů cookie na jakémkoli počítači, aby je AddThis nemohl sledovat pomocí otisků prstů pomocí Canvas. [3]

Vývojář softwaru řekl Forbesu, že otisky prstů zařízení byly používány k zabránění neoprávněnému přístupu k systémům dlouho předtím, než byly použity ke sledování uživatelů bez jejich souhlasu. [2]

Od roku 2014 je tato metoda široce používána mnoha weby a používá ji nejméně tucet známých poskytovatelů webové reklamy a sledování uživatelů. [deset]

V roce 2022 byly možnosti snímání otisků prstů na plátně výrazně vylepšeny tím, že byly zohledněny drobné rozdíly mezi nominálně identickými bloky stejného modelu GPU. Tyto rozdíly jsou zakořeněny ve výrobním procesu, díky čemuž jsou jednotky v průběhu času determinističtější než mezi identickými kopiemi. [7]

Snížení rizika

Dokumentace nápovědy Tor říká: "Po pluginech a informacích poskytovaných pluginy jsme přesvědčeni, že HTML5 Canvas je největší hrozbou prohlížečů otisků prstů, kterým dnešní prohlížeče čelí." [11] Prohlížeč Tor upozorní uživatele na pokusy o čtení plátna a poskytuje možnost vrátit prázdná obrazová data, aby se zabránilo snímání otisků zařízení. [5] Tor Browser však v současné době nedokáže rozlišit legitimní použití prvku Canvas od snahy o snímání otisků prstů, takže jeho varování nelze brát jako důkaz záměru webu identifikovat a sledovat své návštěvníky. Doplňky prohlížeče jako Privacy Badger, [9] DoNotTrackMe, [12] nebo Adblock Plus [13] ručně přidané pomocí seznamu EasyPrivacy mohou blokovat sledovače reklamních sítí třetích stran a lze je nakonfigurovat tak, aby blokovaly otisky prstů pomocí Canvas za předpokladu, že sledovač je obsluhován serverem třetí strany (na rozdíl od implementace samotnou navštívenou webovou stránkou). Rozšíření prohlížeče Canvas Defender pro Firefox a Chrome využívá technologii k vytvoření jedinečného a trvalého šumu zařízení bez blokování hovorů JS-API a vytváří digitální otisk prstu pomocí Canvas. Řada prohlížečů proti detekci prohlížeče je založena na podobné technologii. [čtrnáct]

Projekt prohlížeče LibreWolf obsahuje technologii, která ve výchozím nastavení blokuje přístup k Canvas (HTML5), což umožňuje pouze v určitých případech povolených uživatelem.

Viz také

Poznámky

  1. Knibbsi, Kate. Co potřebujete vědět o nejzáludnějším novém online nástroji pro sledování . Gizmodo (21. července 2014). Staženo: 21. července 2014.
  2. 12 Joseph Steinberg . Online vás sleduje nová záludná technologie – zde je to, co potřebujete vědět . Forbes (23. července 2014). Datum přístupu: 15. listopadu 2014.
  3. 1 2 3 4 Angwin, Julia. Seznamte se s online sledovacím zařízením, které je prakticky nemožné zablokovat . ProPublica (21. července 2014). Staženo: 21. července 2014.
  4. Kirk, Jeremy. Nástroje pro sledování nenápadného webu představují pro uživatele stále větší rizika pro ochranu soukromí . Svět PC (21. července 2014). Staženo: 21. července 2014.
  5. 1 2 3
  6. Nikiforakis, Nick; Acar, Günes Browser Fingerprinting and the Online-Tracking Arms Race . www.ieee.org . IEEE (25. července 2014). Staženo: 31. října 2014.
  7. ↑ 1 2 3 Laor, Tomer; Mehanna, Naif; Durey, Antonín; Dyadjuk, Vitalij; Laperdrix, Pierre; Maurice, Clémentine; Oren, Yossi; Rouvoy, Řím; Rudametkin, Walter; Yarom, Yuval (2022). „DRAWNAPART: Technika identifikace zařízení založená na vzdáleném otisku prstů GPU“ . Proceedings 2022 Network and Distributed System Security Symposium . DOI : 10.14722/ndss.2022.24093 .
  8. 12 Mowery , Keaton. Pixel Perfect: Fingerprinting Canvas v HTML5 . Staženo: 22. března 2018.
  9. 12 Davis, Wendy . EFF říká, že jeho nástroj Anti-Tracking blokuje novou formu digitálního otisku prstů . MediaPost (21. července 2014). Staženo: 21. července 2014.
  10. Webové stránky využívající otisky prstů na plátně HTML5 . webcookies.org. Datum přístupu: 28. prosince 2014. Archivováno z originálu 28. prosince 2014.
  11. Návrh a implementace prohlížeče Tor [NÁVRH ] . www.torproject.org . Staženo: 25. května 2018.
  12. Kirk, Jeremy. Online sledování 'Canvas fingerprinting' je záludné, ale lze jej snadno zastavit . PC World (25. července 2014). Staženo 9. srpna 2014.
  13. Smith, Chris Adblock Plus: Můžeme zastavit otisky prstů na plátně, „nezastavitelnou“ novou techniku ​​sledování prohlížeče . B.G.R. _ PMC. Archivováno z originálu 28. července 2014.

Odkazy