Μια ομάδα ερευνητών από τη Mozilla, το Πανεπιστήμιο της Αϊόβα και το Πανεπιστήμιο της Καλιφόρνια αποτελέσματα μελέτης της χρήσης κώδικα σε ιστότοπους για κρυφή αναγνώριση χρηστών. Η κρυφή αναγνώριση αναφέρεται στη δημιουργία αναγνωριστικών που βασίζονται σε έμμεσα δεδομένα σχετικά με τη λειτουργία του προγράμματος περιήγησης, όπως π.χ. , λίστα υποστηριζόμενων τύπων MIME, επιλογές για συγκεκριμένες κεφαλίδες ( и ), ανάλυση καθιερωμένων , διαθεσιμότητα ορισμένων Web API ειδικά για κάρτες γραφικών απόδοση με χρήση WebGL και , με CSS, , θύρες δικτύου, ανάλυση των χαρακτηριστικών της εργασίας με и .
Μια μελέτη των 100 χιλιάδων πιο δημοφιλών τοποθεσιών σύμφωνα με τις αξιολογήσεις της Alexa έδειξε ότι 9040 από αυτούς (10.18%) χρησιμοποιούν έναν κωδικό για κρυφή αναγνώριση των επισκεπτών. Επιπλέον, αν λάβουμε υπόψη τους χίλιους πιο δημοφιλείς ιστότοπους, τότε ένας τέτοιος κωδικός εντοπίστηκε στο 30.60% των περιπτώσεων (266 ιστότοποι) και μεταξύ των ιστότοπων που καταλαμβάνουν θέσεις στην κατάταξη από το χιλιοστό έως το δέκατο χιλιοστό, στο 24.45% των περιπτώσεων (ιστοσελίδες 2010) . Η κρυφή αναγνώριση χρησιμοποιείται κυρίως σε σενάρια που παρέχονται από εξωτερικές υπηρεσίες για και έλεγχος των ρομπότ, καθώς και διαφημιστικών δικτύων και συστημάτων παρακολούθησης κινήσεων χρηστών.
Για τον εντοπισμό του κωδικού που εκτελεί την κρυφή αναγνώριση, αναπτύχθηκε μια εργαλειοθήκη , του οποίου ο κωδικός με άδεια MIT. Η εργαλειοθήκη χρησιμοποιεί τεχνικές μηχανικής εκμάθησης σε συνδυασμό με στατική και δυναμική ανάλυση κώδικα JavaScript. Υποστηρίζεται ότι η χρήση της μηχανικής μάθησης έχει αυξήσει σημαντικά την ακρίβεια αναγνώρισης του κώδικα για κρυφή αναγνώριση και έχει εντοπίσει 26% περισσότερα προβληματικά σενάρια
σε σύγκριση με τα μη αυτόματα καθορισμένα ευρετικά.
Πολλά από τα αναγνωρισμένα σενάρια αναγνώρισης δεν συμπεριλήφθηκαν σε τυπικές λίστες αποκλεισμού. , ,DuckDuckGo, и .
Μετά την αποστολή Οι προγραμματιστές της λίστας αποκλεισμού EasyPrivacy ήταν μια ξεχωριστή ενότητα για κρυφά σενάρια αναγνώρισης. Επιπλέον, το FP-Inspector μας επέτρεψε να εντοπίσουμε μερικούς νέους τρόπους χρήσης του Web API για αναγνώριση που δεν είχαν συναντήσει προηγουμένως στην πράξη.
Για παράδειγμα, ανακαλύφθηκε ότι οι πληροφορίες σχετικά με τη διάταξη του πληκτρολογίου (getLayoutMap), τα υπολειμματικά δεδομένα στη μνήμη cache χρησιμοποιήθηκαν για την αναγνώριση πληροφοριών (χρησιμοποιώντας το API Performance, αναλύονται οι καθυστερήσεις στην παράδοση δεδομένων, γεγονός που καθιστά δυνατό τον προσδιορισμό εάν ο χρήστης είχε πρόσβαση σε συγκεκριμένος τομέας ή όχι, καθώς και το αν η σελίδα είχε ανοίξει προηγουμένως), τα δικαιώματα που έχουν οριστεί στο πρόγραμμα περιήγησης (πληροφορίες σχετικά με την πρόσβαση στο Notification, Geolocation και Camera API), η παρουσία εξειδικευμένων περιφερειακών συσκευών και σπάνιων αισθητήρων (gamepad, κράνη εικονικής πραγματικότητας, αισθητήρες εγγύτητας). Επιπλέον, κατά τον εντοπισμό της παρουσίας εξειδικευμένων API για ορισμένα προγράμματα περιήγησης και διαφορών στη συμπεριφορά του API (AudioWorklet, setTimeout, mozRTCSessionDescription), καθώς και κατά τη χρήση του AudioContext API για τον προσδιορισμό των χαρακτηριστικών του ηχητικού συστήματος, καταγράφηκε.
Η μελέτη εξέτασε επίσης το ζήτημα της διακοπής της τυπικής λειτουργικότητας των τοποθεσιών σε περίπτωση χρήσης μεθόδων προστασίας από κρυφή αναγνώριση, που οδηγεί σε αποκλεισμό αιτημάτων δικτύου ή περιορισμό της πρόσβασης στο API. Ο επιλεκτικός περιορισμός του API μόνο σε δέσμες ενεργειών που προσδιορίζονται από το FP-Inspector έχει αποδειχθεί ότι οδηγεί σε λιγότερη αναστάτωση από το Brave και το Tor Browser που χρησιμοποιούν αυστηρότερους γενικούς περιορισμούς στις κλήσεις API, γεγονός που ενδεχομένως οδηγεί σε διαρροή δεδομένων.
Πηγή: opennet.ru