Mozilla-ի, Այովա համալսարանի և Կալիֆորնիայի համալսարանի հետազոտողների թիմը
Ըստ Alexa-ի վարկանիշների 100 հազար ամենահայտնի կայքերի ուսումնասիրությունը ցույց է տվել, որ դրանցից 9040-ը (10.18%) օգտագործում է կոդ՝ այցելուներին գաղտնի բացահայտելու համար։ Ավելին, եթե հաշվի առնենք հազար ամենահայտնի կայքերը, ապա այդպիսի ծածկագիր հայտնաբերվել է դեպքերի 30.60%-ում (266 կայք), իսկ հազարերորդից մինչև տասը հազարերորդ հորիզոնականներում զբաղեցրած կայքերի մեջ՝ 24.45% դեպքերում (2010թ. կայքեր) . Թաքնված նույնականացումը հիմնականում օգտագործվում է արտաքին ծառայությունների կողմից տրամադրվող սկրիպտներում
Թաքնված նույնականացում իրականացնող կոդը նույնականացնելու համար մշակվել է գործիքակազմ
ձեռքով սահմանված էվրիստիկայի համեմատ:
Նույնականացման սկրիպտներից շատերը ներառված չեն եղել տիպիկ արգելափակման ցուցակներում:
Ուղարկելուց հետո
Օրինակ, պարզվել է, որ ստեղնաշարի դասավորության (getLayoutMap), մնացորդային տվյալների մասին տեղեկատվությունը քեշում օգտագործվել է տեղեկատվության նույնականացման համար (օգտագործելով Performance API, տվյալների առաքման հետաձգումները վերլուծվում են, ինչը հնարավորություն է տալիս որոշել, թե արդյոք օգտագործողը մուտք է գործել որոշակի տիրույթ, թե ոչ, ինչպես նաև էջը նախկինում բացված լինելը), բրաուզերում սահմանված թույլտվությունները (Տեղեկություններ ծանուցման, աշխարհագրական տեղաբաշխման և տեսախցիկի API-ի հասանելիության մասին), մասնագիտացված ծայրամասային սարքերի և հազվագյուտ սենսորների առկայությունը (խաղի վահանակներ, վիրտուալ իրականության սաղավարտներ, հարևանության սենսորներ): Բացի այդ, որոշ բրաուզերների համար մասնագիտացված API-ների առկայությունը և API-ի վարքագծի տարբերությունները (AudioWorklet, setTimeout, mozRTCSessionDescription), ինչպես նաև ձայնային համակարգի առանձնահատկությունները որոշելու համար AudioContext API-ի օգտագործումը հայտնաբերելիս, այն ձայնագրվել է:
Հետազոտությունը նաև ուսումնասիրել է կայքերի ստանդարտ ֆունկցիոնալության խաթարման հարցը թաքնված նույնականացումից պաշտպանվելու մեթոդների կիրառման դեպքում՝ հանգեցնելով ցանցային հարցումների արգելափակմանը կամ մուտքի API-ի սահմանափակմանը: Պարզվել է, որ API-ի ընտրովի սահմանափակումը միայն FP-Inspector-ի կողմից բացահայտված սկրիպտներով ավելի քիչ խափանումների է հանգեցնում, քան Brave-ը և Tor զննարկիչը, որոնք օգտագործում են ավելի խիստ ընդհանուր սահմանափակումներ API-ի զանգերի վրա, ինչը կարող է հանգեցնել տվյալների արտահոսքի:
Source: opennet.ru