Pagrindiniai pasiėmimai
- Tyrėjas sukūrė svetainę, kuri generuoja unikalų piršto atspaudą pagal įdiegtus naršyklės plėtinius.
- Pirštų atspaudas gali būti naudojamas naudotojams visame žiniatinklyje stebėti, tvirtina tyrėjas.
- Saugos ekspertai siūlo pašalinti visus nereikalingus plėtinius, kad neišsiskirtumėte.
Žiniatinklio naršyklėje esantys plėtiniai gali būti naudojami siekiant unikaliai identifikuoti jus žiniatinklyje.
Siekdamas suteikti žmonėms galimybę tai patirti, saugos tyrinėtojas sukūrė svetainę, kurioje analizuojami įdiegti „Google Chrome“plėtiniai, kad būtų sukurtas piršto atspaudas, kurį, jo teigimu, galima naudoti norint juos stebėti internete.
„Bet kada kompiuteryje yra kažkas pusiau unikalaus, jį galima naudoti piršto atspaudui gauti“, – „Lifewire“el. paštu sakė Erichas Kronas, „KnowBe4“saugumo supratimo advokatas. "Koks unikalus yra tas pirštų atspaudas, gali priklausyti nuo to, kas yra matuojama ar išbandoma."
Naršyklės pirštų atspaudai
Tyrėjas, vartojantis slapyvardį z0ccc, paaiškino, kad naršyklės pirštų atspaudų ėmimas yra galingas metodas, kurį daugelis svetainių naudoja įvairiai informacijai apie lankytojus rinkti, įskaitant jų naršyklės tipą ir versiją, operacinę sistemą, aktyvius papildinius, laiką. zona, kalba, ekrano skiriamoji geba ir įvairūs kiti aktyvūs nustatymai.
Jis tvirtino, kad nors šie duomenų taškai patys savaime gali būti nenaudingi, jie gali padėti vienareikšmiškai identifikuoti vieną konkretų asmenį, nes yra labai maža tikimybė, kad keli žmonės turės tą patį duomenų taškų rinkinį.
Mūsų privatumo taisyklės turi daug ką pasivyti.
"Svetainės naudoja informaciją, kurią pateikia naršyklės, siekdamos identifikuoti unikalius vartotojus ir stebėti jų elgesį internete", – paaiškino z0ccc. „Todėl šis procesas vadinamas „naršyklės pirštų atspaudų ėmimu“.
Remiantis įdiegtų plėtinių deriniu, svetainė generuoja stebėjimo maišą, kurią galima naudoti norint stebėti konkrečią naršyklę visame žiniatinklyje.
Tyrėjas paaiškino, kad jo plėtinių pirštų atspaudų testas remiasi tam tikromis naršyklės plėtinių ypatybėmis, kurios, jo teigimu, yra daugiau nei 1100 plėtinių, įskaitant populiarius, tokius kaip AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, ir daugiau.
Jis pripažino, kad kai kurie plėtiniai imasi veiksmų, kad būtų išvengta aptikimo. Tačiau jis rado gudrybę, kaip pagal jų elgesį nustatyti, ar kuris nors iš šių apsaugotų plėtinių buvo įdiegtas.
Nr.
Iš esmės žmonės, neįdiegę plėtinių, turės tą patį kontrolinį kodą, todėl jie bus mažiau unikalūs ir sunkiai atsekami. Ir atvirkščiai, tų, kurie turi daug plėtinių, pirštų atspaudai bus retesni, todėl juos bus lengviau stebėti.
Pirštinės nenuimamos
El. pašto diskusijoje su Lifewire kibernetinio saugumo paslaugų teikėjo Cyphere direktorius Harmanas Singhas sakė, kad naršyklės pirštų atspaudų ėmimas yra gerai žinomas būdas, naudojamas internetinėse reklamos ir rinkodaros svetainėse visame pasaulyje.
Duomenų rinkimas yra neatsiejama internetinės reklamos ekosistemos dalis, paaiškino Singhas, o tokio tipo naršyklės pirštų atspaudų ėmimas yra tik dar vienas mechanizmas, padedantis teikti tikslinius skelbimus.
Be to, jis pridūrė, kad net finansų institucijos, pvz., bankai, naudoja šiuos naršyklės pirštų atspaudų ėmimo metodus kaip sukčiavimo aptikimo mechanizmų dalį, kad nustatytų, ar jų lankytojas yra tikras vartotojas, ar kenkėjiška anomalija, pavyzdžiui, robotas.
Naršyklės pirštų atspaudų ėmimas nėra neteisėtas, nes jis neidentifikuoja vartotojo. Tačiau duomenų rinkimą reglamentuoja privatumo įstatymai, tokie kaip Bendrasis duomenų apsaugos reglamentas (BDAR) ir Kalifornijos vartotojų privatumo įstatymas (CCPA), pridūrė Singh.
Kalbėdamas konkrečiai apie z0ccc plėtinių pirštų atspaudų testą, Kronas paaiškino, kad nors jis įdomus akademiniu požiūriu, atrodo, kad jo naudingumas dabartinė forma yra ribotas.
Be to, atliekant ribotą bandymą, tai neatrinko įprastų plėtinių „Edge“naršyklėje, grąžinant tą pačią maišą „Chrome“inkognito režimu, kaip ir „Edge“su įdiegtu LastPass plėtiniu, pasakė Kronas. „Buvo ir kitų pirštų atspaudų ėmimo metodų, kuriems naudojama aparatinė įranga, pavyzdžiui, įdiegtos grafikos plokštės atlikti skaičiavimai, kuriuos gali būti šiek tiek sunkiau apeiti.“
Norėdamas padėti mums pasiūlyti būdus, kaip žmonėms padėti išvengti tokio naršyklės pirštų atspaudų, Singhas sakė, kad gera vieta pradėti yra Panopticlick įrankis, suteikiantis įžvalgos, kiek ir kokios informacijos jūsų žiniatinklio naršyklė atskleidžia svetainėms.
Kita vertus, Kron mano, kad visada gera praktika pašalinti arba išjungti nenaudojamus naršyklės plėtinius.
„Interneto naudotojai negali turėti visiškos apsaugos nuo tokių sekimo metodų, nebent to reikalauja įstatymas“, – teigė Singhas. "Mūsų privatumo taisyklės turi daug ką pasivyti."
