Група дослідників з Mozilla, Айовського університету та Каліфорнійського університету результати вивчення застосування на сайтах коду для прихованої ідентифікації користувачів. Під прихованою ідентифікацією розуміється генерація ідентифікаторів на основі непрямих даних про роботу браузера, таких як , список підтримуваних MIME-типів, специфічні параметри в заголовках ( и ), аналіз встановлених , доступність певних Web API, специфічні для відеокарт малювання за допомогою WebGL та , з CSS, , мережевих портів, аналіз особливостей роботи з и .
Вивчення 100 тисяч найпопулярніших сайтів за рейтингом Alexa показало, що на 9040 із них (10.18%) застосовується код для прихованої ідентифікації відвідувачів. При цьому, якщо розглядати тисячу найпопулярніших сайтів, то подібний код був виявлений у 30.60% випадків (266 сайтів), а серед сайтів, що займають у рейтингу місця з тисячного до десятитисячного, у 24.45% випадків (2010 сайтів). В основному прихована ідентифікація застосовується в скриптах, що надаються зовнішніми сервісами та відсіюванням ботів, а також рекламними мережами та системами відстеження переміщення користувачів.
Для виявлення коду, що здійснює приховану ідентифікацію, було розроблено інструментарій , код якого під ліцензією MIT. В інструментарії використовуються методи машинного навчання у поєднанні зі статичним та динамічним аналізом коду JavaScript. Стверджується, що застосування машинного навчання дозволило помітно підвищити точність виявлення коду для прихованої ідентифікації та виявити на 26% більше проблемних скриптів.
порівняно із заданою вручну евристикою.
Багато виявлених скриптів ідентифікації були відсутні в типових списках блокування , , DuckDuckGo, и .
Після відправки розробниками списку блокування EasyPrivacy був окремий розділ для скриптів прихованої ідентифікації. Крім того, FP-Inspector дозволив виявити деякі нові засоби використання Web API для ідентифікації, які раніше не зустрічалися на практиці.
Наприклад, було виявлено використання для ідентифікації інформації про розкладку клавіатури (getLayoutMap), залишкових даних у кеші (за допомогою API Performance аналізуються затримки при віддачі даних, що дозволяє визначити чи звертався користувач до певного домену, а також відкривалася раніше сторінка), виставлених у браузері повноважень (інформація про доступ до Notification, Geolocation та Camera API), наявність спеціалізованих периферійних пристроїв та рідкісних датчиків (геймпади, шоломи віртуальної реальності, сенсори наближення). Крім того, зафіксовано облік при ідентифікації наявності спеціалізованих для певних браузерів API та відмінностей поведінки API (AudioWorklet, setTimeout, mozRTCSessionDescription), а також використання API AudioContext для визначення особливостей звукової системи.
У ході дослідження також було вивчено питання щодо порушення штатної функціональності сайтів у разі застосування методів захисту від прихованої ідентифікації, що призводять до блокування мережевих запитів або обмеження доступу до API. Було показано, що вибіркове обмеження API лише для скриптів, виявлених FP-Inspector, призводить до менших порушень у роботі, ніж при використанні у Brave та Tor Browser більш жорстких загальних обмежень викликів API, що потенційно призводять до витоку даних.
Джерело: opennet.ru