Група даследнікаў з Mozilla, Аёўскага ўніверсітэта і Каліфарнійскага ўніверсітэта
Вывучэнне 100 тысяч самых папулярных сайтаў па рэйтынгу Alexa паказала, што на 9040 з іх (10.18%) ужываецца код для ўтоенай ідэнтыфікацыі наведвальнікаў. Пры гэтым, калі разглядаць тысячу самых папулярных сайтаў, то падобны код быў выяўлены ў 30.60% выпадкаў (266 сайтаў), а сярод сайтаў, якія займаюць у рэйтынгу месцы з тысячнага па дзесяцітысячнае, у 24.45% выпадкаў (2010 сайтаў). У асноўным прыхаваная ідэнтыфікацыя прымяняецца ў скрыптах, якія прадстаўляюцца знешнімі сэрвісамі для
Для выяўлення кода, які ажыццяўляе ўтоеную ідэнтыфікацыю, быў распрацаваны інструментар
у параўнанні з зададзенай уручную эўрыстыкай.
Многія з выяўленых скрыптоў ідэнтыфікацыі адсутнічалі ў тыпавых спісах блакіроўкі
Пасля адпраўкі
Напрыклад, было выяўлена выкарыстанне для ідэнтыфікацыі інфармацыі аб раскладцы клавіятуры (getLayoutMap), рэшткавых дадзеных у кэшы (пры дапамозе API Performance аналізуюцца затрымкі пры аддачы дадзеных, што дазваляе вызначыць ці звяртаўся карыстач да вызначанага дамена ці не, а таксама адчынялася ці раней старонка), выстаўленых у браўзэры паўнамоцтваў (інфармацыя аб доступе да Notification, Geolocation і Camera API), наяўнасці спецыялізаваных перыферыйных прылад і рэдкіх датчыкаў (геймпады, шлемы віртуальнай рэальнасці, сэнсары набліжэння). Акрамя таго, зафіксаваны ўлік пры ідэнтыфікацыі наяўнасці спецыялізаваных для вызначаных браўзэраў API і адрозненняў паводзін API (AudioWorklet, setTimeout, mozRTCSessionDescription), а таксама выкарыстанне API AudioContext для вызначэння асаблівасцяў гукавой сістэмы.
У ходзе даследавання таксама было вывучана пытанне парушэння штатнай функцыянальнасці сайтаў у выпадку прымянення метадаў абароны ад утоенай ідэнтыфікацыі, якія прыводзяць да блакавання сеткавых запытаў або абмежаванні доступу да API. Было паказана, што выбарачнае абмежаванне API толькі для скрыптоў, выяўленых FP-Inspector, прыводзіць да малодшых парушэнняў у працы, чым пры выкарыстанні ў Brave і Tor Browser больш цвёрдых агульных абмежаванняў выклікаў API, патэнцыйна якія прыводзяць да ўцечкі дадзеных.
Крыніца: opennet.ru