Kľúčové poznatky
- Výskumník vytvoril webovú stránku, ktorá generuje jedinečný odtlačok prsta na základe nainštalovaných rozšírení prehliadača.
- Odtlačok prsta možno použiť na sledovanie používateľov na webe, tvrdí výskumník.
- Bezpečnostní experti navrhujú odstrániť všetky nepotrebné rozšírenia, aby ste predišli vyčnievaniu.
Rozšírenia vo vašom webovom prehliadači je možné použiť na vašu jedinečnú identifikáciu na webe.
Aby mali ľudia šancu to zažiť, bezpečnostný výskumník vytvoril webovú stránku, ktorá analyzuje nainštalované rozšírenia Google Chrome a vygeneruje odtlačok prsta, o ktorom tvrdí, že ho možno použiť na sledovanie online.
„Kedykoľvek je v počítači niečo napoly jedinečné, dá sa to použiť na odvodenie odtlačku prsta,“povedal Erich Kron, zástanca povedomia o bezpečnosti z KnowBe4, cez e-mail Lifewire. „Ako jedinečný je odtlačok prsta, môže závisieť od toho, čo sa meria alebo testuje.“
Fingerprint prehliadača
Výskumník, ktorý používa pseudonym z0ccc, vysvetlil, že odtlačky prstov prehliadača sú mocnou metódou, ktorú mnohé webové stránky používajú na zhromažďovanie všetkých druhov podrobností o návštevníkoch, vrátane ich typu a verzie prehliadača, ich operačného systému, aktívnych doplnkov, času zóna, jazyk, rozlíšenie obrazovky a rôzne ďalšie aktívne nastavenia.
Tvrdil, že hoci tieto dátové body nemusia byť samy osebe veľmi užitočné, ak sa skombinujú, môžu pomôcť jednoznačne identifikovať jednu konkrétnu osobu, pretože existuje veľmi malá šanca, že viacero ľudí bude mať rovnaký súbor dátových bodov.
Naše predpisy o ochrane osobných údajov majú veľa čo doháňať.
"Webové stránky používajú informácie, ktoré poskytujú prehliadače, na identifikáciu jedinečných používateľov a sledovanie ich online správania," vysvetlil z0ccc. "Tento proces sa preto nazýva 'snímanie odtlačkov prstov v prehliadači'"
Na základe kombinácie nainštalovaných rozšírení webová lokalita generuje sledovací hash, ktorý možno použiť na sledovanie konkrétneho prehliadača na webe.
Výskumník vysvetlil, že jeho test odtlačkov prstov Extensions sa spolieha na určité vlastnosti rozšírení prehliadača, ktoré sú podľa neho prítomné vo viac ako 1100 rozšíreniach vrátane populárnych rozšírení, ako sú AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, a ďalšie.
Pripustil, že niektoré rozšírenia podnikajú kroky, aby zabránili odhaleniu. Našiel však trik, ako pomocou ich správania zistiť, či bolo nainštalované niektoré z týchto chránených rozšírení.
V rozhovore z0ccc potvrdil, že hoci nezhromažďuje žiadne údaje týkajúce sa nainštalovaných rozšírení od ľudí, ktorí používajú jeho webovú stránku, jeho testy ukázali, že 3+ rozšírenia vytvorí jedinečný odtlačok prsta.
V podstate ľudia, ktorí nemajú nainštalované rozšírenia, budú mať rovnaký odtlačok prsta, vďaka čomu budú menej jedineční a ťažko sledovateľní. Naopak, tie s mnohými rozšíreniami budú mať menej bežný odtlačok prsta, vďaka čomu budú náchylnejšie na sledovanie.
Rukavice sú vypnuté
V e-mailovej diskusii s Lifewire Harman Singh, riaditeľ poskytovateľa služieb kybernetickej bezpečnosti Cyphere, povedal, že snímanie odtlačkov prstov v prehliadači je dobre známa technika, ktorú používajú online reklamné a marketingové webové stránky po celom svete.
Zber údajov je neoddeliteľnou súčasťou ekosystému online inzercie, vysvetlil Singh, a tento typ odtlačkov prstov prehliadača je len ďalším mechanizmom, ktorý im pomáha poskytovať cielené reklamy.
Okrem toho dodal, že dokonca aj finančné inštitúcie, ako sú banky, používajú tieto metódy snímania odtlačkov prstov prehliadača ako súčasť svojich mechanizmov na zisťovanie podvodov, aby zistili, či je ich návštevník skutočným používateľom alebo škodlivou anomáliou ako bot.
Snímanie odtlačkov prstov prehliadača nie je nezákonné, pretože neidentifikuje používateľa. Zhromažďovanie údajov sa však riadi zákonmi o ochrane osobných údajov, ako je všeobecné nariadenie o ochrane údajov (GDPR) a kalifornský zákon o ochrane osobných údajov spotrebiteľov (CCPA), dodal Singh.
Konkrétne o teste odtlačkov prstov z0ccc's Extension Kron vysvetlil, že hoci je zaujímavý z akademického hľadiska, zdá sa, že jeho užitočnosť v súčasnej podobe je obmedzená.
"Okrem toho, pri mojom obmedzenom testovaní to nezachytilo bežné rozšírenia v prehliadači Edge, čím sa vrátil rovnaký hash pre Chrome v režime inkognito, ako to urobil [v] Edge s nainštalovaným rozšírením LastPass, " povedal Kron. „Existovali aj iné metódy snímania odtlačkov prstov, ktoré využívajú hardvér, napríklad výpočty vykonané nainštalovanou grafickou kartou, ktoré by mohli byť trochu ťažšie obísť.“
Aby nám pomohol navrhnúť spôsoby, ako ľuďom pomôcť obísť takéto snímanie odtlačkov prstov prehliadača, Singh povedal, že dobrým miestom na začatie je nástroj Panopticlick, ktorý poskytuje prehľad o tom, koľko a aké informácie váš webový prehliadač prezrádza webovým stránkam.
Na druhej strane, Kron verí, že vždy je dobrým postupom odstrániť alebo zakázať nepoužívané rozšírenia prehliadača.
„Pre používateľov internetu nie je možné mať úplnú ochranu proti takýmto sledovacím technikám, pokiaľ to nie je diktované zákonom,“povedal Singh. "Naše predpisy o ochrane osobných údajov majú veľa čo doháňať."
