Група даследнікаў з Mozilla, Аёўскага ўніверсітэта і Каліфарнійскага ўніверсітэта вынікі вывучэння прымянення на сайтах кода для прыхаванай ідэнтыфікацыі карыстальнікаў. Пад утоенай ідэнтыфікацыі разумеецца генерацыя ідэнтыфікатараў на аснове ўскосных дадзеных аб працы браўзэра, такіх як , спіс падтрымліваемых MIME-тыпаў, спецыфічныя параметры ў загалоўках ( и ), аналіз устаноўленых , даступнасць пэўных Web API, спецыфічныя для відэакарт адмалёўкі пры дапамозе WebGL і , з CSS, , сеткавых партоў, аналіз асаблівасцяў працы з и .
Вывучэнне 100 тысяч самых папулярных сайтаў па рэйтынгу Alexa паказала, што на 9040 з іх (10.18%) ужываецца код для ўтоенай ідэнтыфікацыі наведвальнікаў. Пры гэтым, калі разглядаць тысячу самых папулярных сайтаў, то падобны код быў выяўлены ў 30.60% выпадкаў (266 сайтаў), а сярод сайтаў, якія займаюць у рэйтынгу месцы з тысячнага па дзесяцітысячнае, у 24.45% выпадкаў (2010 сайтаў). У асноўным прыхаваная ідэнтыфікацыя прымяняецца ў скрыптах, якія прадстаўляюцца знешнімі сэрвісамі для і адсяваннем робатаў, а таксама рэкламнымі сеткамі і сістэмамі адсочвання перамяшчэння карыстальнікаў.
Для выяўлення кода, які ажыццяўляе ўтоеную ідэнтыфікацыю, быў распрацаваны інструментар , код якога пад ліцэнзіяй MIT. У інструментары выкарыстоўваюцца метады машыннага навучання ў спалучэнні са статычным і дынамічным аналізам кода JavaScript. Сцвярджаецца, што ўжыванне машыннага навучання дазволіла прыкметна падвысіць дакладнасць выяўлення кода для ўтоенай ідэнтыфікацыі і выявіць на 26% больш праблемных скрыптоў.
у параўнанні з зададзенай уручную эўрыстыкай.
Многія з выяўленых скрыптоў ідэнтыфікацыі адсутнічалі ў тыпавых спісах блакіроўкі , , DuckDuckGo, и .
Пасля адпраўкі распрацоўшчыкамі спісу блакавання EasyPrivacy быў асобная частка для скрыптоў утоенай ідэнтыфікацыі. Акрамя таго, FP-Inspector дазволіў выявіць некаторыя новыя спосабы выкарыстання Web API для ідэнтыфікацыі, якія раней не сустракаліся на практыку.
Напрыклад, было выяўлена выкарыстанне для ідэнтыфікацыі інфармацыі аб раскладцы клавіятуры (getLayoutMap), рэшткавых дадзеных у кэшы (пры дапамозе API Performance аналізуюцца затрымкі пры аддачы дадзеных, што дазваляе вызначыць ці звяртаўся карыстач да вызначанага дамена ці не, а таксама адчынялася ці раней старонка), выстаўленых у браўзэры паўнамоцтваў (інфармацыя аб доступе да Notification, Geolocation і Camera API), наяўнасці спецыялізаваных перыферыйных прылад і рэдкіх датчыкаў (геймпады, шлемы віртуальнай рэальнасці, сэнсары набліжэння). Акрамя таго, зафіксаваны ўлік пры ідэнтыфікацыі наяўнасці спецыялізаваных для вызначаных браўзэраў API і адрозненняў паводзін API (AudioWorklet, setTimeout, mozRTCSessionDescription), а таксама выкарыстанне API AudioContext для вызначэння асаблівасцяў гукавой сістэмы.
У ходзе даследавання таксама было вывучана пытанне парушэння штатнай функцыянальнасці сайтаў у выпадку прымянення метадаў абароны ад утоенай ідэнтыфікацыі, якія прыводзяць да блакавання сеткавых запытаў або абмежаванні доступу да API. Было паказана, што выбарачнае абмежаванне API толькі для скрыптоў, выяўленых FP-Inspector, прыводзіць да малодшых парушэнняў у працы, чым пры выкарыстанні ў Brave і Tor Browser больш цвёрдых агульных абмежаванняў выклікаў API, патэнцыйна якія прыводзяць да ўцечкі дадзеных.
Крыніца: opennet.ru