Tím výskumníkov z Mozilly, University of Iowa a University of California výsledky štúdia používania kódu na webových stránkach na skrytú identifikáciu používateľov. Skrytou identifikáciou sa rozumie generovanie identifikátorov na základe nepriamych údajov o fungovaní prehliadača, ako napr. , zoznam podporovaných typov MIME, možnosti špecifické pre hlavičku ( и ), analýza zavedených dostupnosť určitých webových rozhraní API špecifických pre grafické karty vykresľovanie pomocou WebGL a , s CSS, , sieťové porty, analýza funkcií práce s и .
Štúdia 100-tisíc najobľúbenejších stránok podľa hodnotenia Alexa ukázala, že 9040 10.18 z nich (30.60 %) používa kód na tajnú identifikáciu návštevníkov. Navyše, ak vezmeme do úvahy tisíc najobľúbenejších stránok, potom bol takýto kód zistený v 266% prípadov (24.45 stránok) a medzi stránkami, ktoré zaberajú miesta v rebríčku od tisíciny do desaťtisíc, v 2010% prípadov (stránky z roku XNUMX) . Skrytá identifikácia sa používa najmä v skriptoch poskytovaných externými službami pre a skríningu robotov, ako aj reklamných sietí a systémov na sledovanie pohybu používateľov.
Na identifikáciu kódu, ktorý vykonáva skrytú identifikáciu, bola vyvinutá súprava nástrojov , ktorého kód pod licenciou MIT. Sada nástrojov využíva techniky strojového učenia v kombinácii so statickou a dynamickou analýzou kódu JavaScript. Tvrdí sa, že použitie strojového učenia výrazne zvýšilo presnosť identifikácie kódu pre skrytú identifikáciu a identifikovalo o 26 % problematickejších skriptov.
v porovnaní s ručne špecifikovanou heuristikou.
Mnohé z identifikovaných identifikačných skriptov neboli zahrnuté v typických zoznamoch blokovania. , ,DuckDuckGo, и .
Po odoslaní Vývojári zoznamu blokov EasyPrivacy boli samostatná sekcia pre skryté identifikačné skripty. Okrem toho nám FP-Inspector umožnil identifikovať niektoré nové spôsoby využitia webového API na identifikáciu, s ktorými sme sa doteraz v praxi nestretli.
Napríklad sa zistilo, že na identifikáciu informácií sa použili informácie o rozložení klávesnice (getLayoutMap), zvyškové údaje vo vyrovnávacej pamäti (pomocou rozhrania Performance API sa analyzujú oneskorenia v doručovaní údajov, čo umožňuje určiť, či používateľ pristupoval k určitú doménu alebo nie, ako aj to, či bola stránka predtým otvorená), povolenia nastavené v prehliadači (informácie o prístupe k Notification, Geolocation a Camera API), prítomnosť špecializovaných periférnych zariadení a vzácnych senzorov (gamepady, prilby pre virtuálnu realitu, senzory priblíženia). Okrem toho pri identifikácii prítomnosti API špecializovaných pre určité prehliadače a rozdielov v správaní API (AudioWorklet, setTimeout, mozRTCSessionDescription), ako aj pri použití AudioContext API na určenie vlastností zvukového systému, bola zaznamenaná.
Štúdia skúmala aj problematiku narúšania štandardnej funkcionality stránok v prípade využívania metód ochrany pred skrytou identifikáciou, vedúcich k blokovaniu sieťových požiadaviek alebo obmedzovaniu prístupu k API. Ukázalo sa, že selektívne obmedzenie API iba na skripty identifikované FP-Inspectorom vedie k menšiemu narušeniu ako Brave a Tor Browser s použitím prísnejších všeobecných obmedzení na volania API, čo môže viesť k úniku údajov.
Zdroj: opennet.ru