Zespół badaczy z Mozilli, Uniwersytetu Iowa i Uniwersytetu Kalifornijskiego wyniki badań wykorzystania kodu na stronach internetowych do ukrytej identyfikacji użytkownika. Ukryta identyfikacja oznacza generowanie identyfikatorów na podstawie pośrednich danych o działaniu przeglądarki, np , lista obsługiwanych typów MIME, określone parametry w nagłówkach ( и ), analiza zainstalowanych , dostępność niektórych interfejsów API sieci Web, specyficznych dla kart graficznych renderowanie przy użyciu WebGL i , z CSS, , porty sieciowe, analiza funkcji pracy z и .
Badanie 100 tysięcy najpopularniejszych witryn według ocen Alexa wykazało, że 9040 z nich (10.18%) używa kodu w celu tajnej identyfikacji odwiedzających. Co więcej, jeśli weźmiemy pod uwagę tysiąc najpopularniejszych witryn, to taki kod został wykryty w 30.60% przypadków (266 witryn), a wśród witryn zajmujących miejsca w rankingu od tysięcznej do dziesięciotysięcznej w 24.45% przypadków (strony z 2010 r.) . Ukryta identyfikacja stosowana jest głównie w skryptach udostępnianych przez serwisy zewnętrzne i odsiewanie botów, a także sieci reklamowych i systemów śledzenia ruchu użytkowników.
Aby zidentyfikować kod realizujący ukrytą identyfikację, opracowano zestaw narzędzi , którego kod na licencji MIT. Zestaw narzędzi wykorzystuje techniki uczenia maszynowego w połączeniu ze statyczną i dynamiczną analizą kodu JavaScript. Twierdzi się, że zastosowanie uczenia maszynowego znacząco zwiększyło dokładność identyfikacji kodu w celu ukrytej identyfikacji i zidentyfikowało o 26% więcej problematycznych skryptów
w porównaniu do ręcznie określonych heurystyk.
Wiele ze zidentyfikowanych skryptów identyfikacyjnych nie znalazło się na typowych listach blokujących. , ,DuckDuckGo, и .
po wysłaniu Twórcami listy blokowania EasyPrivacy byli osobna sekcja poświęcona ukrytym skryptom identyfikacyjnym. Dodatkowo FP-Inspector pozwolił nam zidentyfikować kilka nowych sposobów wykorzystania Web API do identyfikacji, które wcześniej nie były spotykane w praktyce.
Odkryto np., że do identyfikacji informacji wykorzystano informacje o układzie klawiatury (getLayoutMap), dane resztkowe w pamięci podręcznej (za pomocą Performance API analizowane są opóźnienia w dostarczaniu danych, co pozwala określić, czy użytkownik uzyskał dostęp do dana domena, czy nie i czy strona była wcześniej otwierana), uprawnienia ustawione w przeglądarce (informacje o dostępie do Powiadomień, Geolokalizacji i API Kamery), obecność specjalizowanych urządzeń peryferyjnych i rzadkich czujników (gamepady, kaski wirtualnej rzeczywistości, czujniki zbliżenia). Dodatkowo, przy wykryciu obecności API wyspecjalizowanych dla określonych przeglądarek oraz różnic w zachowaniu API (AudioWorklet, setTimeout, mozRTCSessionDescription), a także wykorzystaniu API AudioContext do określenia cech systemu dźwiękowego, zostało to odnotowane.
W badaniu zbadano także kwestię zakłócenia standardowej funkcjonalności witryn w przypadku stosowania metod ochrony przed ukrytą identyfikacją, prowadzących do blokowania żądań sieciowych lub ograniczania dostępu do API. Wykazano, że selektywne ograniczenie API tylko do skryptów zidentyfikowanych przez FP-Inspector skutkuje mniejszymi zakłóceniami niż Brave i Tor Browser stosujące bardziej rygorystyczne ogólne ograniczenia dotyczące wywołań API, co może prowadzić do wycieku danych.
Źródło: opennet.ru