Група дослідників з Mozilla, Айовського університету та Каліфорнійського університету
Вивчення 100 тисяч найпопулярніших сайтів за рейтингом Alexa показало, що на 9040 із них (10.18%) застосовується код для прихованої ідентифікації відвідувачів. При цьому, якщо розглядати тисячу найпопулярніших сайтів, то подібний код був виявлений у 30.60% випадків (266 сайтів), а серед сайтів, що займають у рейтингу місця з тисячного до десятитисячного, у 24.45% випадків (2010 сайтів). В основному прихована ідентифікація застосовується в скриптах, що надаються зовнішніми сервісами
Для виявлення коду, що здійснює приховану ідентифікацію, було розроблено інструментарій
порівняно із заданою вручну евристикою.
Багато виявлених скриптів ідентифікації були відсутні в типових списках блокування
Після відправки
Наприклад, було виявлено використання для ідентифікації інформації про розкладку клавіатури (getLayoutMap), залишкових даних у кеші (за допомогою API Performance аналізуються затримки при віддачі даних, що дозволяє визначити чи звертався користувач до певного домену, а також відкривалася раніше сторінка), виставлених у браузері повноважень (інформація про доступ до Notification, Geolocation та Camera API), наявність спеціалізованих периферійних пристроїв та рідкісних датчиків (геймпади, шоломи віртуальної реальності, сенсори наближення). Крім того, зафіксовано облік при ідентифікації наявності спеціалізованих для певних браузерів API та відмінностей поведінки API (AudioWorklet, setTimeout, mozRTCSessionDescription), а також використання API AudioContext для визначення особливостей звукової системи.
У ході дослідження також було вивчено питання щодо порушення штатної функціональності сайтів у разі застосування методів захисту від прихованої ідентифікації, що призводять до блокування мережевих запитів або обмеження доступу до API. Було показано, що вибіркове обмеження API лише для скриптів, виявлених FP-Inspector, призводить до менших порушень у роботі, ніж при використанні у Brave та Tor Browser більш жорстких загальних обмежень викликів API, що потенційно призводять до витоку даних.
Джерело: opennet.ru