Zespół badaczy z Mozilli, Uniwersytetu Iowa i Uniwersytetu Kalifornijskiego
Badanie 100 tysięcy najpopularniejszych witryn według ocen Alexa wykazało, że 9040 z nich (10.18%) używa kodu w celu tajnej identyfikacji odwiedzających. Co więcej, jeśli weźmiemy pod uwagę tysiąc najpopularniejszych witryn, to taki kod został wykryty w 30.60% przypadków (266 witryn), a wśród witryn zajmujących miejsca w rankingu od tysięcznej do dziesięciotysięcznej w 24.45% przypadków (strony z 2010 r.) . Ukryta identyfikacja stosowana jest głównie w skryptach udostępnianych przez serwisy zewnętrzne
Aby zidentyfikować kod realizujący ukrytą identyfikację, opracowano zestaw narzędzi
w porównaniu do ręcznie określonych heurystyk.
Wiele ze zidentyfikowanych skryptów identyfikacyjnych nie znalazło się na typowych listach blokujących.
po wysłaniu
Odkryto np., że do identyfikacji informacji wykorzystano informacje o układzie klawiatury (getLayoutMap), dane resztkowe w pamięci podręcznej (za pomocą Performance API analizowane są opóźnienia w dostarczaniu danych, co pozwala określić, czy użytkownik uzyskał dostęp do dana domena, czy nie i czy strona była wcześniej otwierana), uprawnienia ustawione w przeglądarce (informacje o dostępie do Powiadomień, Geolokalizacji i API Kamery), obecność specjalizowanych urządzeń peryferyjnych i rzadkich czujników (gamepady, kaski wirtualnej rzeczywistości, czujniki zbliżenia). Dodatkowo, przy wykryciu obecności API wyspecjalizowanych dla określonych przeglądarek oraz różnic w zachowaniu API (AudioWorklet, setTimeout, mozRTCSessionDescription), a także wykorzystaniu API AudioContext do określenia cech systemu dźwiękowego, zostało to odnotowane.
W badaniu zbadano także kwestię zakłócenia standardowej funkcjonalności witryn w przypadku stosowania metod ochrony przed ukrytą identyfikacją, prowadzących do blokowania żądań sieciowych lub ograniczania dostępu do API. Wykazano, że selektywne ograniczenie API tylko do skryptów zidentyfikowanych przez FP-Inspector skutkuje mniejszymi zakłóceniami niż Brave i Tor Browser stosujące bardziej rygorystyczne ogólne ograniczenia dotyczące wywołań API, co może prowadzić do wycieku danych.
Źródło: opennet.ru