Een team van onderzoekers van Mozilla, de Universiteit van Iowa en de Universiteit van Californië resultaten van onderzoek naar het gebruik van code op websites voor verborgen gebruikersidentificatie. Verborgen identificatie verwijst naar het genereren van identificatiegegevens op basis van indirecte gegevens over de werking van de browser, zoals , lijst met ondersteunde MIME-typen, specifieke parameters in headers ( и ), analyse van geïnstalleerd , beschikbaarheid van bepaalde web-API's, specifiek voor videokaarten renderen met WebGL en , met CSS, , netwerkpoorten, analyse van de kenmerken van het werken met и .
Uit een onderzoek naar de 100 populairste sites volgens Alexa-beoordelingen bleek dat 9040 daarvan (10.18%) een code gebruiken om bezoekers in het geheim te identificeren. Als we bovendien de duizend meest populaire sites beschouwen, werd een dergelijke code gedetecteerd in 30.60% van de gevallen (266 sites), en onder sites die plaatsen innemen op de ranglijst van de duizendste tot de tienduizendste, in 24.45% van de gevallen (sites uit 2010). . Verborgen identificatie wordt vooral gebruikt in scripts die door externe diensten worden aangeleverd en het uitsluiten van bots, evenals advertentienetwerken en systemen voor het volgen van gebruikersbewegingen.
Om de code te identificeren die verborgen identificatie uitvoert, is een toolkit ontwikkeld , wiens code onder MIT-licentie. De toolkit maakt gebruik van machine learning-technieken in combinatie met statische en dynamische analyse van JavaScript-code. Er wordt beweerd dat het gebruik van machinaal leren de nauwkeurigheid van het identificeren van code voor verborgen identificatie aanzienlijk heeft vergroot en 26% meer problematische scripts heeft geïdentificeerd
vergeleken met handmatig gespecificeerde heuristieken.
Veel van de geïdentificeerde identificatiescripts waren niet opgenomen in typische blokkeerlijsten. , ,DuckDuckGo, и .
Na verzenden De ontwikkelaars van de EasyPrivacy-blokkeerlijst waren dat wel een aparte sectie voor verborgen identificatiescripts. Bovendien heeft FP-Inspector ons in staat gesteld een aantal nieuwe manieren te identificeren om de Web API te gebruiken voor identificatie die we nog niet eerder in de praktijk tegenkwamen.
Er werd bijvoorbeeld ontdekt dat informatie over de toetsenbordindeling (getLayoutMap), resterende gegevens in de cache, werd gebruikt om informatie te identificeren (met behulp van de Performance API worden vertragingen in de gegevenslevering geanalyseerd, waardoor kan worden vastgesteld of de gebruiker toegang heeft gehad tot een bepaald domein of niet, evenals of de pagina eerder is geopend), machtigingen ingesteld in de browser (informatie over toegang tot Notification, Geolocation en Camera API), de aanwezigheid van gespecialiseerde randapparatuur en zeldzame sensoren (gamepads, virtual reality-helmen, nabijheidssensoren). Bovendien werd dit geregistreerd bij het identificeren van de aanwezigheid van API's die gespecialiseerd zijn voor bepaalde browsers en verschillen in API-gedrag (AudioWorklet, setTimeout, mozRTCSessionDescription), evenals het gebruik van de AudioContext API om de kenmerken van het geluidssysteem te bepalen.
In het onderzoek werd ook gekeken naar de kwestie van verstoring van de standaardfunctionaliteit van sites in het geval van het gebruik van beschermingsmethoden tegen verborgen identificatie, wat leidt tot het blokkeren van netwerkverzoeken of het beperken van de toegang tot de API. Het is aangetoond dat het selectief beperken van de API tot alleen door FP-Inspector geïdentificeerde scripts tot minder verstoring leidt dan Brave en Tor Browser die strengere algemene beperkingen op API-aanroepen gebruiken, wat mogelijk tot gegevenslekken kan leiden.
Bron: opennet.ru