Ключови изводи
- Изследовател създаде уебсайт, който генерира уникален пръстов отпечатък въз основа на инсталирани разширения на браузъра.
- Пръстовият отпечатък може да се използва за проследяване на потребителите в мрежата, твърди изследователят.
- Експертите по сигурността предлагат премахване на всички ненужни разширения, за да избегнете изпъкване.
Разширенията във вашия уеб браузър могат да се използват за еднозначно идентифициране в мрежата.
За да даде възможност на хората да изпитат това, изследовател по сигурността създаде уебсайт, който анализира инсталираните разширения на Google Chrome, за да генерира пръстов отпечатък, който според него може да се използва за проследяването им онлайн.
"Всеки път, когато има нещо полу-уникално в компютъра, то може да се използва за извличане на пръстов отпечатък", каза Ерих Крон, защитник на информираността за сигурността в KnowBe4, каза пред Lifewire по имейл. „Колко уникален е този пръстов отпечатък може да зависи от това какво се измерва или тества.“
Пръстов отпечатък на браузъра
Изследователят, който използва псевдонима z0ccc, обясни, че пръстовият отпечатък на браузъра е мощен метод, който много уебсайтове използват, за да събират всякакви подробности за посетителите, включително типа и версията на браузъра им, тяхната операционна система, активни добавки, време зона, език, разделителна способност на екрана и различни други активни настройки.
Той твърди, че докато тези точки от данни може да не са от голяма полза сами по себе си, когато се комбинират, те могат да помогнат за уникалното идентифициране на един конкретен човек, тъй като има много малък шанс много хора да имат един и същ набор от точки от данни.
Нашите разпоредби за поверителност има много за наваксване.
"Уебсайтовете използват информацията, която браузърите предоставят, за да идентифицират уникалните потребители и да проследят тяхното онлайн поведение", обясни z0ccc. „Този процес се нарича „отпечатък на браузъра“.“
Въз основа на комбинацията от инсталирани разширения уебсайтът генерира хеш за проследяване, който може да се използва за проследяване на конкретния браузър в мрежата.
Изследователят обясни, че неговият Extensions Fingerprint тест разчита на определени свойства на разширенията на браузъра, които според него присъстват в над 1100 разширения, включително популярни като AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, и още.
Той призна, че някои разширения предприемат стъпки, за да предотвратят откриването. Той обаче намери трик да използва поведението им, за да определи дали някое от тези защитени разширения е инсталирано.
В интервю z0ccc потвърди, че въпреки че не събира никакви данни относно инсталираните разширения от хора, които използват уебсайта му, тестовете му показват, че наличието на 3+ разширения ще създаде уникален пръстов отпечатък.
По същество хората без инсталирани разширения ще имат един и същ пръстов отпечатък, което ги прави по-малко уникални и трудни за проследяване. Обратно, тези с много разширения ще имат по-рядко срещан пръстов отпечатък, което ги прави по-податливи на проследяване.
Ръкавиците са свалени
В имейл дискусия с Lifewire Харман Сингх, директор на доставчика на услуги за киберсигурност Cyphere, каза, че пръстовият отпечатък на браузъра е добре позната техника, използвана от уебсайтове за онлайн реклама и маркетинг по целия свят.
Събирането на данни е неразделна част от екосистемата за онлайн рекламиране, обясни Сингх, и този тип пръстови отпечатъци на браузъра е просто още един механизъм, който им помага да показват насочени реклами.
Освен това, той добави, че дори финансови институции като банки използват тези методи за пръстови отпечатъци на браузъра като част от техните механизми за откриване на измами, за да открият дали техният посетител е истински потребител или злонамерена аномалия като бот.
Отпечатъците на браузъра не са незаконни, тъй като не идентифицират потребител. Събирането на данни обаче се урежда от законите за поверителност, като Общия регламент за защита на данните (GDPR) и Калифорнийския закон за поверителността на потребителите (CCPA), добави Сингх.
Говорейки конкретно за теста Extension Fingerprints на z0ccc, Крон обясни, че макар да е интересен от академична гледна точка, изглежда ограничен в своята полезност в сегашната си форма.
"Освен това, при моето ограничено тестване, това не улови общи разширения в браузъра Edge, връщайки същия хеш за Chrome в режим "инкогнито", както го направи [в] Edge с инсталирано разширение LastPass," каза Крон. „Има други методи за пръстови отпечатъци, които използват хардуер, изчисления, направени от инсталираната графична карта, например, които може да са малко по-трудни за работа.“
За да ни помогне да предложим начини за хората да помогнат за заобикаляне на подобни пръстови отпечатъци на браузъра, Сингх каза, че добро място за начало е инструментът Panopticlick, който дава представа колко и каква информация вашият уеб браузър разкрива на уебсайтовете.
От друга страна, Kron вярва, че винаги е добра практика да премахнете или деактивирате неизползваните разширения на браузъра.
"За интернет потребителите не е възможно да имат пълна защита срещу такива техники за проследяване, освен ако не е продиктувано от закона", каза Сингх. „Нашите разпоредби за поверителност има много за наваксване.“
