Klíčové poznatky
- Výzkumník vytvořil webovou stránku, která generuje jedinečný otisk prstu na základě nainstalovaných rozšíření prohlížeče.
- Otisk prstu lze použít ke sledování uživatelů na webu, tvrdí výzkumník.
- Bezpečnostní experti doporučují odstranit všechna nepotřebná rozšíření, abyste se vyhnuli vyčnívání.
Rozšíření ve vašem webovém prohlížeči lze použít k vaší jedinečné identifikaci na webu.
Aby měli lidé šanci to zažít, vytvořil bezpečnostní výzkumník webovou stránku, která analyzuje nainstalovaná rozšíření Google Chrome a generuje otisk prstu, o kterém tvrdí, že jej lze použít k online sledování.
„Kdykoli je v počítači něco napůl jedinečného, lze to použít k odvození otisku prstu,“řekl Lifewire e-mailem Erich Kron, obhájce povědomí o bezpečnosti z KnowBe4. "Jak jedinečný je otisk prstu může záviset na tom, co se měří nebo testuje."
Otisky prstů prohlížeče
Výzkumník, který používá pseudonym z0ccc, vysvětlil, že otisky prstů prohlížeče jsou mocnou metodou, kterou mnoho webových stránek používá ke shromažďování všech druhů podrobností o návštěvnících, včetně jejich typu a verze prohlížeče, jejich operačního systému, aktivních pluginů, času zóna, jazyk, rozlišení obrazovky a různá další aktivní nastavení.
Argumentoval tím, že ačkoli tyto datové body nemusí být samy o sobě příliš užitečné, v kombinaci by mohly pomoci jednoznačně identifikovat jednu konkrétní osobu, protože existuje velmi malá šance, že by stejnou sadu datových bodů mělo více lidí.
Naše předpisy o ochraně soukromí mají hodně co dohánět.
"Webové stránky používají informace, které poskytují prohlížeče, k identifikaci jedinečných uživatelů a sledování jejich online chování," vysvětlil z0ccc. "Tento proces se proto nazývá 'otisky prstů v prohlížeči'."
Na základě kombinace nainstalovaných rozšíření web vygeneruje sledovací hash, který lze použít ke sledování konkrétního prohlížeče na webu.
Výzkumník vysvětlil, že jeho test Extensions Fingerprint spoléhá na určité vlastnosti rozšíření prohlížeče, které jsou podle něj přítomny ve více než 1100 rozšířeních, včetně těch oblíbených, jako jsou AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, a další.
Připustil, že některá rozšíření podnikají kroky k zabránění odhalení. Našel však trik, jak pomocí jejich chování zjistit, zda bylo nainstalováno některé z těchto chráněných rozšíření.
V rozhovoru z0ccc potvrdil, že ačkoliv neshromažďuje žádná data týkající se nainstalovaných rozšíření od lidí, kteří používají jeho web, jeho testy ukázaly, že mít 3+ rozšíření vytvoří jedinečný otisk prstu.
V podstatě lidé bez nainstalovaných rozšíření budou mít stejný otisk prstu, takže budou méně jedineční a obtížně sledovatelní. Naopak ty s mnoha příponami budou mít méně obvyklý otisk prstu, takže budou náchylnější ke sledování.
Rukavice jsou vypnuté
V e-mailové diskusi s Lifewire Harman Singh, ředitel poskytovatele služeb kybernetické bezpečnosti Cyphere, uvedl, že otisky prstů v prohlížeči jsou dobře známou technikou používanou online reklamními a marketingovými weby po celém světě.
Sběr dat je nedílnou součástí ekosystému online inzerce, vysvětlil Singh, a tento typ otisků prstů v prohlížeči je jen dalším mechanismem, který jim pomáhá poskytovat cílené reklamy.
Dále dodal, že dokonce i finanční instituce, jako jsou banky, používají tyto metody snímání otisků prstů v prohlížeči jako součást svých mechanismů detekce podvodů, aby zjistily, zda je jejich návštěvník skutečným uživatelem nebo škodlivou anomálií, jako je bot.
Otisky prstů prohlížeče nejsou nezákonné, protože neidentifikují uživatele. Shromažďování údajů se však řídí zákony na ochranu soukromí, jako je obecné nařízení o ochraně osobních údajů (GDPR) a kalifornský zákon na ochranu soukromí spotřebitelů (CCPA), dodal Singh.
Když jsme hovořili konkrétně o testu Extension Fingerprints testu z0ccc, Kron vysvětlil, že i když je zajímavý z akademického hlediska, zdá se, že jeho užitečnost je ve své současné podobě omezená.
"V mém omezeném testování to navíc nezachytilo běžná rozšíření v prohlížeči Edge a vrátilo stejný hash pro Chrome v režimu inkognito jako [v] Edge s nainstalovaným rozšířením LastPass, " řekl Kron. "Existují i jiné metody snímání otisků prstů, které využívají hardware, například výpočty provedené nainstalovanou grafickou kartou, které by mohly být trochu obtížnější."
Aby nám pomohl navrhnout způsoby, jak lidem pomoci obejít takové otisky prstů prohlížeče, Singh řekl, že dobrým místem pro začátek je nástroj Panopticlick, který poskytuje přehled o tom, kolik a jaké informace váš webový prohlížeč odhaluje webům.
Na druhou stranu, Kron věří, že je vždy dobrou praxí odstranit nebo zakázat nepoužívaná rozšíření prohlížeče.
"Pro uživatele internetu není možné mít úplnou ochranu proti takovým sledovacím technikám, pokud to není nařízeno zákonem," řekl Singh. "Naše předpisy o ochraně soukromí mají hodně co dohánět."
