Key Takeaways
- Istraživač je kreirao web stranicu koja generiše jedinstveni otisak prsta na osnovu instaliranih ekstenzija pretraživača.
- Otisak prsta se može koristiti za praćenje korisnika širom weba, tvrdi istraživač.
- Stručnjaci za sigurnost predlažu uklanjanje svih nepotrebnih ekstenzija kako biste izbjegli isticanje.
Ekstenzije u vašem web pregledniku mogu se koristiti za jedinstvenu identifikaciju na webu.
Da bi ljudima pružio priliku da ovo iskuse, istraživač sigurnosti je napravio web stranicu koja analizira instalirane ekstenzije za Google Chrome kako bi generirala otisak prsta, za koji tvrdi da se može koristiti za njihovo praćenje na mreži.
"Uvek kada postoji nešto polu-jedinstveno u računaru, može se koristiti za dobijanje otiska prsta", rekao je za Lifewire Erich Kron, zagovornik svesti o bezbednosti u KnowBe4. "Koliko je jedinstven otisak prsta zavisi od toga šta se meri ili testira."
Browser Fingerprinting
Istraživač, koji koristi pseudonim z0ccc, objasnio je da je otisak prsta u pretraživaču moćna metoda koju mnoge web stranice koriste za prikupljanje svih vrsta detalja o posjetiteljima, uključujući njihov tip i verziju pretraživača, njihov operativni sistem, aktivne dodatke, vrijeme zona, jezik, rezolucija ekrana i razne druge aktivne postavke.
Tvrdio je da, iako ove podatkovne tačke možda same po sebi nisu od velike koristi, kada su kombinovane, mogle bi pomoći u jedinstvenoj identifikaciji jedne određene osobe, budući da je vrlo mala šansa da više ljudi ima isti skup podataka.
Naši propisi o privatnosti imaju dosta toga da nadoknade.
"Web stranice koriste informacije koje pretraživači pružaju za identifikaciju jedinstvenih korisnika i praćenje njihovog ponašanja na mreži", objasnio je z0ccc. "Ovaj proces se stoga naziva 'otisak prsta u pretraživaču'"
Na osnovu kombinacije instaliranih ekstenzija, web stranica generiše hash za praćenje koji se može koristiti za praćenje tog određenog pretraživača na webu.
Istraživač je objasnio da se njegov test otiska prsta ekstenzija oslanja na određena svojstva ekstenzija pretraživača, za koja je rekao da su prisutna u preko 1100 ekstenzija, uključujući popularne kao što su AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, i više.
Priznao je da neke ekstenzije poduzimaju korake da spriječe otkrivanje. Međutim, pronašao je trik da iskoristi njihovo ponašanje kako bi utvrdio je li bilo koja od ovih zaštićenih ekstenzija instalirana.
U jednom intervjuu, z0ccc je potvrdio da, iako ne prikuplja nikakve podatke o instaliranim ekstenzijama od ljudi koji koriste njegovu web stranicu, njegovi testovi su pokazali da će posjedovanje 3+ ekstenzije stvoriti jedinstveni otisak prsta.
U suštini, ljudi bez instaliranih ekstenzija će imati isti otisak prsta, što ih čini manje jedinstvenim i teškim za praćenje. S druge strane, oni sa mnogo ekstenzija će imati manje uobičajen otisak prsta, što ih čini sklonijim praćenju.
Rukavice su skinute
U raspravi putem e-pošte sa Lifewireom, Harman Singh, direktor pružatelja usluga kibernetičke sigurnosti Cyphere, rekao je da je otisak prsta u pretraživaču dobro poznata tehnika koju koriste internetske web stranice za oglašavanje i marketing širom svijeta.
Prikupljanje podataka je sastavni dio ekosistema oglašavanja na mreži, objasnio je Singh, a ova vrsta otiska prsta u pretraživaču je samo još jedan mehanizam koji im pomaže da serviraju ciljane reklame.
Štaviše, dodao je da čak i finansijske institucije poput banaka koriste ove metode otiska prsta u pretraživaču kao dio svojih mehanizama za otkrivanje prijevara kako bi otkrili da li je njihov posjetitelj pravi korisnik ili zlonamjerna anomalija poput bota.
Otisak prsta u pretraživaču nije nezakonit jer ne identifikuje korisnika. Međutim, prikupljanje podataka regulirano je zakonima o privatnosti kao što su Opća uredba o zaštiti podataka (GDPR) i Kalifornijski zakon o privatnosti potrošača (CCPA), dodao je Singh.
Govoreći konkretno o z0ccc-ovom Extension Fingerprints testu, Kron je objasnio da, iako je zanimljiv iz akademske perspektive, izgleda ograničeno u svojoj korisnosti u svom trenutnom obliku.
"Osim toga, u mom ograničenom testiranju, ovo nije pokupilo uobičajene ekstenzije u Edge pretraživaču, vraćajući isti hash za Chrome u anonimnom načinu rada, kao što je to učinio [u] Edge s instaliranom ekstenzijom LastPass, " rekao je Kron. "Postojale su i druge metode uzimanja otisaka prstiju koje koriste hardver, kalkulacije napravljene od strane instalirane grafičke kartice, na primjer, koje bi moglo biti malo teže zaobići."
Kako bi nam pomogao da predložimo načine na koje ljudi mogu pomoći da zaobiđu takve otiske prstiju u pretraživaču, Singh je rekao da je dobro mjesto za početak alat Panopticlick, koji daje uvid u to koliko i kakve informacije vaš web pretraživač otkriva web lokacijama.
S druge strane, Kron vjeruje da je uvijek dobra praksa ukloniti ili onemogućiti nekorištene ekstenzije preglednika.
"Za korisnike interneta nije moguće imati potpunu zaštitu od takvih tehnika praćenja osim ako to ne diktira zakon", smatra Singh. "Naši propisi o privatnosti imaju dosta toga da nadoknade."