Ett team av forskare frÄn Mozilla, University of Iowa och University of California resultat av att studera anvÀndningen av kod pÄ webbplatser för dold anvÀndaridentifiering. Dold identifiering avser generering av identifierare baserat pÄ indirekta data om hur webblÀsaren fungerar, som t.ex , lista över MIME-typer som stöds, specifika parametrar i rubriker ( О ), analys av installerade , tillgÀnglighet för vissa webb-API:er, specifika för grafikkort rendering med WebGL och , med CSS, , nÀtverksportar, analys av funktionerna i att arbeta med О .
En studie av de 100 tusen mest populÀra sajterna enligt Alexas betyg visade att 9040 10.18 av dem (30.60%) anvÀnder en kod för att i hemlighet identifiera besökare. Dessutom, om vi betraktar de tusen mest populÀra webbplatserna, upptÀcktes en sÄdan kod i 266% av fallen (24.45 webbplatser), och bland webbplatser som upptar platser i rankningen frÄn tusendel till tiotusendel, i 2010% av fallen (XNUMX webbplatser) . Dold identifiering anvÀnds frÀmst i skript som tillhandahÄlls av externa tjÀnster för och sÄlla bort bots, sÄvÀl som annonsnÀtverk och system för spÄrning av anvÀndarrörelser.
För att identifiera koden som utför dold identifiering utvecklades en verktygslÄda , vars kod under MIT-licens. Verktyget anvÀnder maskininlÀrningstekniker i kombination med statisk och dynamisk analys av JavaScript-kod. Det hÀvdas att anvÀndningen av maskininlÀrning avsevÀrt har ökat noggrannheten för att identifiera kod för dold identifiering och identifierat 26 % mer problematiska skript
jÀmfört med manuellt specificerade heuristiker.
MĂ„nga av de identifierade identifieringsskripten ingick inte i typiska blockeringslistor. , ,DuckDuckGo, Đž .
Efter att ha skickat Utvecklarna av blocklistan EasyPrivacy var ett separat avsnitt för dolda identifieringsskript. Dessutom tillÀt FP-Inspector oss att identifiera nÄgra nya sÀtt att anvÀnda webb-API:et för identifiering som vi inte tidigare har stött pÄ i praktiken.
Till exempel upptÀcktes att information om tangentbordslayouten (getLayoutMap), kvarvarande data i cachen anvÀndes för att identifiera information (med hjÀlp av Performance API analyseras förseningar i dataleverans, vilket gör det möjligt att avgöra om anvÀndaren fick Ätkomst till en viss domÀn eller inte, samt om sidan tidigare har öppnats), behörigheter instÀllda i webblÀsaren (information om Ätkomst till Notification, Geolocation och Camera API), nÀrvaron av specialiserade kringutrustning och sÀllsynta sensorer (gamepads, virtual reality-hjÀlmar, nÀrhetssensorer). Dessutom, nÀr man identifierade nÀrvaron av API: er specialiserade för vissa webblÀsare och skillnader i API-beteende (AudioWorklet, setTimeout, mozRTCSessionDescription), sÄvÀl som anvÀndningen av AudioContext API för att faststÀlla funktionerna i ljudsystemet, spelades det in.
Studien undersökte ocksÄ frÄgan om avbrott i webbplatsernas standardfunktioner vid anvÀndning av metoder för skydd mot dold identifiering, vilket leder till blockering av nÀtverksförfrÄgningar eller begrÀnsning av Ätkomst till API. Att selektivt begrÀnsa API:et till endast skript som identifierats av FP-Inspector har visat sig resultera i mindre störningar Àn Brave och Tor Browser som anvÀnder strÀngare allmÀnna begrÀnsningar för API-anrop, vilket kan leda till datalÀckage.
KĂ€lla: opennet.ru
