Raziskovalci z Univerze Ben-Gurion (Izrael), Univerze v Lillu (Francija) in Univerze v Adelaidi (Avstralija) so razvili novo tehniko za prepoznavanje uporabniških naprav z zaznavanjem parametrov delovanja GPE v spletnem brskalniku. Metoda se imenuje "Drawn Apart" in temelji na uporabi WebGL za pridobitev profila zmogljivosti GPU, kar lahko bistveno izboljša natančnost pasivnih metod sledenja, ki delujejo brez uporabe piškotkov in brez shranjevanja identifikatorja v uporabnikov sistem.
Metode, ki pri identifikaciji upoštevajo značilnosti upodabljanja, GPE, grafični sklad in gonilnike, so bile uporabljene že prej, vendar so bile omejene na možnost ločevanja naprav samo na ravni različnih modelov video kartic in GPE, tj. se lahko uporabi le kot dodaten dejavnik za povečanje verjetnosti identifikacije. Ključna značilnost nove metode "Drawn Apart" je, da se ne omejuje na ločevanje različnih modelov grafičnih procesorjev, ampak poskuša prepoznati razlike med enakimi grafičnimi procesorji istega modela zaradi heterogenosti proizvodnega procesa čipov, zasnovanih za množično vzporedno računalništvo. Opozoriti je treba, da razlike, ki se pojavijo med proizvodnim procesom, omogočajo oblikovanje neponavljajočih se vtisov za iste modele naprav.
Izkazalo se je, da je te razlike mogoče prepoznati s štetjem števila izvršilnih enot in analizo njihove zmogljivosti v GPU. Preverjanja na podlagi nabora trigonometričnih funkcij, logičnih operacij in izračunov s plavajočo vejico so bila uporabljena kot primitivi za identifikacijo različnih modelov GPU. Za identifikacijo razlik v istih grafičnih procesorjih je bilo ocenjeno število sočasno izvajajočih se niti pri izvajanju senčil vozlišč. Predpostavlja se, da je zaznan učinek posledica razlik v temperaturnih pogojih in porabi energije različnih primerkov čipov (prej je bil podoben učinek dokazan za CPU - enaki procesorji so pokazali različno porabo energije pri izvajanju iste kode).
Ker se operacije prek WebGL izvajajo asinhrono, JavaScript API performance.now() ni mogoče uporabiti neposredno za merjenje njihovega časa izvajanja, zato so bili predlagani trije triki za merjenje časa:
- na zaslonu — upodabljanje scene na platnu HTML, merjenje odzivnega časa funkcije povratnega klica, nastavljene prek API-ja Window.requestAnimationFrame in poklicane po končanem upodabljanju.
- offscreen - uporaba delavca in upodabljanje scene v objekt OffscreenCanvas, merjenje časa izvajanja ukaza convertToBlob.
- GPU – rišite v predmet OffscreenCanvas, vendar uporabite časovnik, ki ga ponuja WebGL, za merjenje časa, ki upošteva trajanje nabora ukazov na strani GPE.
Med postopkom izdelave ID-ja se na vsaki napravi izvede 50 testov, od katerih vsak zajema 176 meritev 16 različnih karakteristik. Eksperiment, ki je zbral informacije o 2500 napravah s 1605 različnimi grafičnimi procesorji, je pokazal 67-odstotno povečanje učinkovitosti kombiniranih identifikacijskih metod pri dodajanju podpore Drawn Apart. Zlasti kombinirana metoda FP-STALKER je zagotovila identifikacijo v povprečju v 17.5 dneh, v kombinaciji z Drawn Apart pa se je trajanje identifikacije povečalo na 28 dni.
- Natančnost ločevanja 10 sistemov s čipi Intel i5-3470 (GEN 3 Ivy Bridge) in grafično kartico Intel HD Graphics 2500 je bila v testu na zaslonu 93 %, v testu zunaj zaslona pa 36.3 %.
- Za 10 sistemov Intel i5-10500 (GEN 10 Comet Lake) z video kartico NVIDIA GTX1650 je bila natančnost 70 % in 95.8 %.
- Za 15 sistemov Intel i5-8500 (GEN 8 Coffee Lake) z grafičnim procesorjem Intel UHD Graphics 630 - 42 % in 55 %.
- Za 23 sistemov Intel i5-4590 (GEN 4 Haswell) z grafično kartico Intel HD Graphics 4600 – 32.7 % in 63.7 %.
- Pri šestih pametnih telefonih Samsung Galaxy S20/S20 Ultra z grafičnim procesorjem Mali-G77 MP11 je bila natančnost identifikacije v zaslonskem testu 92.7 %, pri pametnih telefonih Samsung Galaxy S9/S9+ z Mali-G72 MP18 pa 54.3 %.
Opozoriti je treba, da je na natančnost vplivala temperatura grafičnega procesorja, pri nekaterih napravah pa je ponovni zagon sistema povzročil izkrivljanje identifikatorja. Pri uporabi metode v kombinaciji z drugimi metodami posredne identifikacije se lahko natančnost bistveno poveča. Prav tako nameravajo povečati natančnost z uporabo računalniških senčil po stabilizaciji novega API-ja WebGPU.
Intel, ARM, Google, Khronos, Mozilla in Brave so bili o težavi obveščeni že leta 2020, vendar so podrobnosti o metodi razkrite šele zdaj. Raziskovalci so objavili tudi delovne primere, napisane v JavaScriptu in GLSL, ki lahko delujejo s prikazom informacij na zaslonu in brez njega. Tudi za sisteme, ki temeljijo na GPU Intel GEN 3/4/8/10, so bili objavljeni nabori podatkov za razvrščanje ekstrahiranih informacij v sistemih strojnega učenja.
Vir: opennet.ru