Ein Forscherteam von Mozilla, der University of Iowa und der University of California Ergebnisse der Untersuchung der Verwendung von Code auf Websites zur versteckten Benutzeridentifizierung. Unter versteckter Identifizierung versteht man die Generierung von Identifikatoren auf der Grundlage indirekter Daten über den Betrieb des Browsers, wie z , Liste der unterstützten MIME-Typen, Header-spezifische Optionen ( и ), Analyse der etablierten , Verfügbarkeit bestimmter Web-APIs speziell für Grafikkarten Rendern mit WebGL und , mit CSS, , Netzwerkports, Analyse der Funktionen der Arbeit mit и .
Eine Untersuchung der 100 beliebtesten Websites laut Alexa-Bewertungen ergab, dass 9040 von ihnen (10.18 %) einen Code verwenden, um Besucher heimlich zu identifizieren. Betrachtet man außerdem die tausend beliebtesten Websites, so wurde ein solcher Code in 30.60 % der Fälle (266 Websites) und bei Websites, die im Ranking vom tausendsten bis zum zehntausendsten Platz belegten, in 24.45 % der Fälle (Websites 2010) entdeckt. . Die versteckte Identifizierung wird hauptsächlich in Skripten verwendet, die von externen Diensten bereitgestellt werden und das Aussortieren von Bots sowie Werbenetzwerken und Systemen zur Verfolgung von Benutzerbewegungen.
Um den Code zu identifizieren, der die versteckte Identifizierung durchführt, wurde ein Toolkit entwickelt , dessen Code unter MIT-Lizenz. Das Toolkit nutzt Techniken des maschinellen Lernens in Kombination mit statischer und dynamischer Analyse von JavaScript-Code. Es wird behauptet, dass der Einsatz von maschinellem Lernen die Genauigkeit der Codeerkennung zur versteckten Identifizierung deutlich erhöht und 26 % mehr problematische Skripte identifiziert hat
im Vergleich zu manuell festgelegten Heuristiken.
Viele der identifizierten Identifikationsskripte waren nicht in typischen Sperrlisten enthalten. , ,DuckDuckGo, и .
Nach dem Absenden Die Entwickler der EasyPrivacy-Sperrliste waren ein separater Abschnitt für versteckte Identifikationsskripte. Darüber hinaus ermöglichte uns FP-Inspector, einige neue Möglichkeiten zur Verwendung der Web-API zur Identifizierung zu identifizieren, die in der Praxis bisher nicht anzutreffen waren.
Beispielsweise wurde festgestellt, dass Informationen über das Tastaturlayout (getLayoutMap) und Restdaten im Cache zur Identifizierung von Informationen verwendet wurden (mithilfe der Performance-API werden Verzögerungen bei der Datenbereitstellung analysiert, wodurch festgestellt werden kann, ob der Benutzer auf a zugegriffen hat). bestimmte Domäne oder nicht, sowie ob die Seite zuvor geöffnet wurde), im Browser festgelegte Berechtigungen (Informationen über den Zugriff auf Benachrichtigung, Geolokalisierung und Kamera-API), das Vorhandensein spezieller Peripheriegeräte und seltener Sensoren (Gamepads, Virtual-Reality-Helme, Annäherungssensoren). Darüber hinaus wurde das Vorhandensein von APIs, die auf bestimmte Browser spezialisiert sind, und Unterschiede im API-Verhalten (AudioWorklet, setTimeout, mozRTCSessionDescription) sowie die Verwendung der AudioContext-API zur Bestimmung der Funktionen des Soundsystems festgestellt.
Die Studie untersuchte auch das Problem der Beeinträchtigung der Standardfunktionalität von Websites im Falle der Verwendung von Methoden zum Schutz vor versteckter Identifizierung, die zur Blockierung von Netzwerkanfragen oder zur Einschränkung des Zugriffs auf die API führen. Es hat sich gezeigt, dass die selektive Beschränkung der API auf nur von FP-Inspector identifizierte Skripte zu weniger Störungen führt als Brave und Tor Browser, die strengere allgemeine Einschränkungen für API-Aufrufe verwenden, was möglicherweise zu Datenlecks führt.
Source: opennet.ru