Исследователи обнаружили новую форму снятия отпечатков , которая позволяет обойти защиту конфиденциальности основных веб-браузеров, таких как Safari и Firefox, для установления личности пользователя.
В течение многих лет компании отслеживали пользователей в Интернете с помощью файлов cookie - фрагментов данных, передаваемых между веб-сервером и вашим браузером, которые сообщают им, когда вы возвращаетесь на сайт. Но сегодня файлы cookie легко блокируются, стираются или отключаются большинством современных веб-браузеров. В результате их место начала занимать косвенная, еще более изощренная форма онлайн-отслеживания, известная как снятие отпечатков с браузера.
Концепция проста. Точно так же, как выступы на отпечатке пальца уникальны для каждого человека, так и крупицы информации, хранящиеся в вашем веб-браузере. Чтобы упростить навигацию в Интернете, ваш браузер знает, какое устройство вы используете, его настройки и сотни других деталей. Проанализированные вместе, эти фрагменты данных могут раскрыть вашу личность третьим лицам, позволяя им создавать профиль и отслеживать ваши перемещения с сайта на сайт.
Все, что для этого требуется, - это немного JavaScript, вставленного на веб-страницу, часто без чьего-либо ведома. Каждый раз, когда веб-сайт выполняет вызов API в вашем браузере, он собирает фрагменты информации, которые могут быть объединены для получения "отпечатка ” вашего устройства. Такие браузеры, как Brave, Firefox, Safari и Tor, среди прочих, разработали способы блокировать или маскировать идентификационные данные браузера, возвращая ложные значения (метод, известный как подмена). Но методы отслеживания развиваются, и иногда новые угрозы обнаруживают сами исследователи безопасности.
На симпозиуме IEEE по безопасности и конфиденциальности исследователи IBM рассказали о новой технологии снятия отпечатков , которая использует элементы стиля — такие, как шрифты, сохраненные в вашем браузере, — для установления личности пользователя.
Отслеживание на основе файлов cookie стало выходом из положения в связи с ужесточением правил конфиденциальности, а браузерные компании упростили отказ от них. Быстро появилась функция снятия отпечатков с браузера, чтобы заполнить пробел. Согласно исследованию, проведенному в соавторстве с Mozilla, менее 1% из 10 000 наиболее посещаемых веб-сайтов в 2013 году использовали отпечатки в браузере. К 2021 году это делали четверть сайтов.
Установление личности человека через его браузер может показаться менее агрессивным, чем прямое отслеживание его с помощью файлов cookie. Но снятие отпечатков может быть столь же эффективным при идентификации людей, даже если они используют браузеры, более ориентированные на конфиденциальность.
Безусловно, у отпечатков есть функции помимо отправки целевой рекламы. Банки используют ее для обнаружения мошенничества, чтобы определить, осуществляется ли доступ к учетной записи с незнакомого устройства. Двухфакторные средства аутентификации используют это, чтобы отмечать пользователей, которые могут выдавать себя за кого-то другого, чтобы обойти систему безопасности. Фактически, одной из функций для текущего времени является предоставление инструмента для проверки чьей-либо личности.
Чтобы проверить эффективность этого метода, исследователи привлекли своих коллег из IBM Research к проведению пилотного исследования через внутренний веб-сайт IBM. Они включили стилистический способ идентификации на веб-страницах портала и обнаружили, что их метод так же хорош для идентификации уникальных устройств, как и стандартный метод на JavaScript. Они были удивлены, обнаружив, что их метод лучше всего подходит для взлома браузеров, ориентированных на конфиденциальность, и что он хорошо работает в корпоративных условиях со многими аналогичными устройствами.
Существует два основных способа защиты от этой новой формы снятия отпечатков . Вы можете установить в веб-браузер расширение, например Auto iFrames Remover, или также ввести поддельные значения для ключевых функций вашего компьютера, таких как разрешение экрана и коэффициент масштабирования. Обе стратегии могут повлиять на то, как веб-страницы отображаются в вашем браузере, но одним из обходных путей является подделка функций, менее важных для отображения.
Это не решит проблему полностью, но может помочь.
Исследователи решили не делать свой код общедоступным, чтобы технология не попала в чужие руки. Но они уведомили основные браузерные компании об уязвимости. Две компании запросили доступ к коду, и одна из них, Brave, как сообщается, обновила свой браузер.
