Βασικά Takeaways
- Ένας ερευνητής δημιούργησε έναν ιστότοπο που δημιουργεί ένα μοναδικό δακτυλικό αποτύπωμα με βάση τις εγκατεστημένες επεκτάσεις προγράμματος περιήγησης.
- Το δακτυλικό αποτύπωμα μπορεί να χρησιμοποιηθεί για την παρακολούθηση των χρηστών στον ιστό, ισχυρίζεται ο ερευνητής.
- Εμπειρογνώμονες σε θέματα ασφάλειας προτείνουν να αφαιρέσετε όλες τις περιττές επεκτάσεις για να μην ξεχωρίζετε.
Οι επεκτάσεις στο πρόγραμμα περιήγησής σας θα μπορούσαν να χρησιμοποιηθούν για να σας αναγνωρίσουν μοναδικά στον ιστό.
Για να δώσει στους ανθρώπους την ευκαιρία να το ζήσουν αυτό, ένας ερευνητής ασφάλειας δημιούργησε έναν ιστότοπο που αναλύει τις εγκατεστημένες επεκτάσεις του Google Chrome για να δημιουργήσει ένα δακτυλικό αποτύπωμα, το οποίο, όπως ισχυρίζεται, μπορεί να χρησιμοποιηθεί για την παρακολούθηση τους στο διαδίκτυο.
"Κάθε φορά που υπάρχει κάτι ημιμοναδικό σε έναν υπολογιστή, μπορεί να χρησιμοποιηθεί για την εξαγωγή δακτυλικού αποτυπώματος", είπε ο Έριχ Κρον, συνήγορος ευαισθητοποίησης για την ασφάλεια στο KnowBe4, στο Lifewire μέσω email. "Το πόσο μοναδικό είναι αυτό το δακτυλικό αποτύπωμα θα μπορούσε να εξαρτάται από το τι μετράται ή δοκιμάζεται."
Browser Fingerprinting
Ο ερευνητής, που χρησιμοποιεί το ψευδώνυμο z0ccc, εξήγησε ότι το δακτυλικό αποτύπωμα του προγράμματος περιήγησης είναι μια ισχυρή μέθοδος που χρησιμοποιούν πολλοί ιστότοποι για να συλλέγουν κάθε είδους λεπτομέρειες σχετικά με τους επισκέπτες, συμπεριλαμβανομένου του τύπου και της έκδοσης του προγράμματος περιήγησής τους, του λειτουργικού τους συστήματος, των ενεργών προσθηκών, του χρόνου ζώνη, γλώσσα, ανάλυση οθόνης και διάφορες άλλες ενεργές ρυθμίσεις.
Υποστήριξε ότι αν και αυτά τα σημεία δεδομένων μπορεί να μην είναι πολύ χρήσιμα από μόνα τους, όταν συνδυάζονται, θα μπορούσαν να βοηθήσουν στον μοναδικό εντοπισμό ενός συγκεκριμένου ατόμου, καθώς υπάρχει πολύ μικρή πιθανότητα πολλά άτομα να έχουν το ίδιο σύνολο σημείων δεδομένων.
Οι κανονισμοί απορρήτου μας πρέπει να καλύψουν πολλά.
"Οι ιστότοποι χρησιμοποιούν τις πληροφορίες που παρέχουν τα προγράμματα περιήγησης για να εντοπίσουν μοναδικούς χρήστες και να παρακολουθήσουν τη συμπεριφορά τους στο διαδίκτυο", εξήγησε ο z0ccc. "Αυτή η διαδικασία ονομάζεται επομένως "δαχτυλικό αποτύπωμα προγράμματος περιήγησης."
Με βάση τον συνδυασμό των εγκατεστημένων επεκτάσεων, ο ιστότοπος δημιουργεί ένα κατακερματισμό παρακολούθησης που μπορεί να χρησιμοποιηθεί για την παρακολούθηση του συγκεκριμένου προγράμματος περιήγησης στον ιστό.
Ο ερευνητής εξήγησε ότι η δοκιμή του Extensions Fingerprint βασίζεται σε ορισμένες ιδιότητες επέκτασης προγράμματος περιήγησης, οι οποίες, όπως είπε, υπάρχουν σε περισσότερες από 1100 επεκτάσεις, συμπεριλαμβανομένων δημοφιλών όπως AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, και άλλα.
Παραδέχτηκε ότι ορισμένες επεκτάσεις λαμβάνουν μέτρα για να αποτρέψουν τον εντοπισμό. Ωστόσο, βρήκε ένα κόλπο για να χρησιμοποιήσει τη συμπεριφορά τους για να προσδιορίσει εάν κάποια από αυτές τις προστατευμένες επεκτάσεις είχε εγκατασταθεί.
Σε μια συνέντευξη, ο z0ccc επιβεβαίωσε ότι παρόλο που δεν συλλέγει δεδομένα σχετικά με τις εγκατεστημένες επεκτάσεις από άτομα που χρησιμοποιούν τον ιστότοπό του, οι δοκιμές του έδειξαν ότι η ύπαρξη 3+ επεκτάσεων θα δημιουργήσει ένα μοναδικό δακτυλικό αποτύπωμα.
Ουσιαστικά, τα άτομα χωρίς εγκατεστημένες επεκτάσεις θα έχουν το ίδιο δακτυλικό αποτύπωμα, καθιστώντας τους λιγότερο μοναδικούς και δύσκολο να εντοπιστούν. Αντίθετα, όσοι έχουν πολλές επεκτάσεις θα έχουν ένα λιγότερο κοινό δακτυλικό αποτύπωμα, καθιστώντας τους πιο επιρρεπείς στην παρακολούθηση.
Γάντια είναι εκτός
Σε μια συζήτηση μέσω email με το Lifewire, ο Harman Singh, Διευθυντής του παρόχου υπηρεσιών κυβερνοασφάλειας Cyphere, είπε ότι το δακτυλικό αποτύπωμα του προγράμματος περιήγησης είναι μια πολύ γνωστή τεχνική που χρησιμοποιείται από διαδικτυακούς ιστότοπους διαφήμισης και μάρκετινγκ παγκοσμίως.
Η συλλογή δεδομένων αποτελεί αναπόσπαστο μέρος του διαδικτυακού οικοσυστήματος διαφήμισης, εξήγησε ο Singh, και αυτός ο τύπος δακτυλικών αποτυπωμάτων του προγράμματος περιήγησης είναι απλώς ένας άλλος μηχανισμός που τους βοηθά να προβάλλουν στοχευμένες διαφημίσεις.
Επιπλέον, πρόσθεσε ότι ακόμη και χρηματοπιστωτικά ιδρύματα όπως οι τράπεζες χρησιμοποιούν αυτές τις μεθόδους λήψης δακτυλικών αποτυπωμάτων στο πρόγραμμα περιήγησης ως μέρος των μηχανισμών ανίχνευσης απάτης για να εντοπίσουν εάν ο επισκέπτης τους είναι γνήσιος χρήστης ή μια κακόβουλη ανωμαλία όπως ένα bot.
Η λήψη δακτυλικών αποτυπωμάτων από το πρόγραμμα περιήγησης δεν είναι παράνομη, καθώς δεν αναγνωρίζει έναν χρήστη. Ωστόσο, η συλλογή των δεδομένων διέπεται από νόμους περί απορρήτου, όπως ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) και ο νόμος περί απορρήτου των καταναλωτών της Καλιφόρνια (CCPA), πρόσθεσε ο Singh.
Μιλώντας συγκεκριμένα για το τεστ Extension Fingerprints του z0ccc, ο Kron εξήγησε ότι ενώ είναι ενδιαφέρον από ακαδημαϊκή άποψη, φαίνεται περιορισμένη ως προς τη χρησιμότητά του στην τρέχουσα μορφή του.
"Επιπλέον, στις περιορισμένες δοκιμές μου, αυτό δεν έλαβε κοινές επεκτάσεις στο πρόγραμμα περιήγησης Edge, επιστρέφοντας τον ίδιο κατακερματισμό για το Chrome σε κατάσταση ανώνυμης περιήγησης, όπως έγινε [στο] Edge με την επέκταση LastPass εγκατεστημένη, " είπε ο Κρον. "Υπήρξαν άλλες μέθοδοι δακτυλικών αποτυπωμάτων που χρησιμοποιούν υλικό, υπολογισμοί που έγιναν από την εγκατεστημένη κάρτα γραφικών, για παράδειγμα, που θα μπορούσε να είναι λίγο πιο δύσκολο να επιλυθούν."
Για να μας βοηθήσει να προτείνουμε τρόπους στους χρήστες να βοηθήσουν στην παράκαμψη τέτοιων δακτυλικών αποτυπωμάτων του προγράμματος περιήγησης, ο Singh είπε ότι ένα καλό μέρος για να ξεκινήσετε είναι το εργαλείο Panopticlick, το οποίο παρέχει πληροφορίες για το πόσες και τι είδους πληροφορίες αποκαλύπτει το πρόγραμμα περιήγησής σας στους ιστότοπους.
Από την άλλη πλευρά, ο Kron πιστεύει ότι είναι πάντα μια καλή πρακτική να αφαιρείτε ή να απενεργοποιείτε τις αχρησιμοποίητες επεκτάσεις προγράμματος περιήγησης.
"Για τους χρήστες του Διαδικτύου, δεν είναι δυνατή η πλήρης προστασία έναντι τέτοιων τεχνικών παρακολούθησης, εκτός εάν υπαγορεύεται από το νόμο", σχολίασε ο Singh. "Οι κανονισμοί μας για το απόρρητο πρέπει να καλύψουν πολλά."
