21

Nowy sposób śledzenia użytkowników – zmiana przeglądarki nic Ci nie da

Czym jest odcisk palca przeglądarki? Należy wiedzieć, że nasza tożsamość w sieci może być ustalana bez potrzeby proszenia nas o ich podanie. Od dawna już, podczas przeglądania zasobów internetu zostawiamy po sobie ślad, który pozwala nas "namierzyć". W przypadku rzeczonego odcisku palca, chodzi o przeglądarkę, jej wersję, ustawienia komputera, zainstalowane czcionki, dodatki. Przy zastosowaniu tylko kilku zmiennych, możliwe jest ustalenie tożsamości użytkownika na poziomie ok. 80 procent wykrywalności.

Oczywiście, zdarzają się sytuacje, w których kilku użytkowników ma dokładnie ten sam odcisk palca przeglądarki – mimo istnienia naprawdę ogromnej ilości możliwych kombinacji. Niemniej, badacze postanowili sprawdzić, czy jest możliwe skonstruowanie nowego sposobu identyfikowania osób funkcjonujących w sieci. Okazuje się, że jak najbardziej i co więcej – wyklucza się przy okazji przeglądarkę z dotychczas stosowanych zmiennych.

Odcisk palca przeglądarki przestawał być pomocny wtedy, jeżeli użytkownik np. zmieniał domyślną. Spore różnice były widoczne również w przypadkach, kiedy dana osoba korzystała równolegle z dwóch programów do przeglądania zasobów internetu. Najnowszy model identyfikowania użytkowników polega na wykonanie określonych instrukcji przez przeglądarkę – tak, aby można było ustalić odcisk palca bazujący na sprzęcie, jaki znajduje się w naszym urządzeniu.

99-procentowa skuteczność to poważny postęp

Unowocześniony model identyfikacji zakłada przeprowadzenie kilku zadań bazujących na standardzie WebGL dla renderowania grafiki trójwymiarowej w przeglądarkach. Na podstawie zebranych informacji można stworzyć inny, aczkolwiek dużo bardziej precyzyjny odcisk palca, który również z tego powodu, że WebGL jest standardem, będzie obejmować swoim działaniem nie tylko jedną przeglądarkę, ale i wszystkie, które go obsługują. Oznacza to, że zmiana przeglądarki nic nie da – w dalszym ciągu będziemy zdatni do wyśledzenia przez opracowany mechanizm.

przeglądarki

Badacze z Uniwersytetu Lehigh w swojej pracy zamierzali udowodnić, że prywatność zasadniczo nie istnieje i oczywiście im się to udało (bo to po prostu truizm). Owe odkrycie nie wnosi niczego nowego do samej dyskusji nad zasadnością zbierania danych użytkowników, natomiast wskazuje, że sposobów na „wyciśnięcie” z nas informacji jest naprawdę mnóstwo. W tej kwestii jedynym ograniczeniem jest właściwie inwencja osoby, która opracowuje model identyfikowania użytkowników w internecie.

Poznanie potencjalnych mechanizmów identyfikowania użytkowników ma swoje podstawy w poszukiwaniu metod ochrony przed takimi działaniami. Autorzy programów, które zapobiegają śledzeniu nas na podstawie odcisku palca przeglądarki chętnie skorzystają z wiedzy badaczy i rychło wprowadzą zmiany do swoich narzędzi – tak, aby uniemożliwić stronom uzyskanie szerszych informacji na temat naszej tożsamości.

Nowy mechanizm ustalania odcisku palca przeglądarki rzecz jasna nie będzie działać w przypadku przeglądarki Tor, natomiast warto zauważyć, że również ci „paranoiczni” użytkownicy często włączają niektóre funkcje, które są potrzebne by móc przeglądać pewne zasoby (i tyczy się to również WebGL). Wtedy teoretycznie można uzyskać informacje o użytkowniku, jednak będą one niepełne.

przeglądarki

Zawsze znajdzie się metoda identyfikowania użytkowników w sieci. O niektórych możemy nawet nie wiedzieć

Ustalanie odcisku palca przeglądarki to nie jedyny pomysł na identyfikowanie unikalnych użytkowników. Niedawno pisaliśmy dla Was o polskim pomyśle na targetowanie reklam do osób, które np. interesowały się produktami w danym sklepie – Cosmose. W jego ramach, sklep mógłby identyfikować użytkowników na podstawie urządzeń, które znalazły się w zasięgu sieci bezprzewodowej (można nawet lokalizować ich w sklepie z dokładnością do kilku metrów!) i na tej podstawie dopasowywać do nich reklamy.

Ale nie tylko. Strony internetowe analizują również to, w jaki sposób wpisujemy np. hasła do pól tekstowych – z jaką szybkością, czy często się mylimy, jak długo się zastanawiamy.

  • Cwany Tadeusz

    Dlatego nie korzystam z przeglądarek

    • gom1

      Emacsem przez sendmail?

    • Pluto

      Wgetem albo curlem :)

    • Tak, tak. ;)

  • Jan Kusy

    Od dawna są odpowiednie systemy operacyjne a nawet specjalne wtyczki do przeglądarek które ten problem rozwiązują, też mi news, może ciemny lud to kupi, ja nie…

    • Fajnie.

      „Nowy mechanizm ustalania odcisku palca przeglądarki rzecz jasna nie będzie działać w przypadku przeglądarki Tor, natomiast warto zauważyć, że również ci „paranoiczni” użytkownicy często włączają niektóre funkcje, które są potrzebne by móc przeglądać pewne zasoby (i tyczy się to również WebGL). Wtedy teoretycznie można uzyskać informacje o użytkowniku, jednak będą one niepełne”

      Dziękuję.

    • Juras

      Fajnie.

      „Od dawna są odpowiednie systemy operacyjne a nawet specjalne wtyczki do przeglądarek”

      Systemy operacyjne, wtyczki do przeglądarek.

      No przecież napisałem, że Tor.

      Dziękuję.

    • Podał przykład. Najpopularniejszy przykład.

  • gom1

    Pozostaje trollować z wirtualnej maszyny, co tydzień instalując inne distro linuksa.

    • IdontgiveaF

      Po co? Wystarczy, że trolowac będziesz zawsze z tej samej maszyny tak, żeby nie dało się tego połączyć z twoją aktywnością gdy jesteś grzeczny/łatwy to rozpoznania ;)

  • Juras

    WebGL hmmm…prawdopodobnie chodzi o odpytanie karty o model, sterowniki, dostępne funkcje, podobnie jak to ma miejsce w OpenGL. Wydaje mi się, że producenci przeglądarek dadzą (o ile już nie dali, nie wiem bo się nie interesuje tym) zablokowanie możliwości odpytywania o kartę i sterowniki, lub też blokowanie całego WebGL.

    Nie przejmowałbym się tymi rewelacjami. Z pewnością producenci przeglądarek dadzą możliwość zablokowania wszystkiego co sobie user zażyczy.

    • Adrian

      W Firefoxie wystarczy wejść na about:config i ustawić webgl.disabled na false

    • Na pewno?

  • doogopis

    ” i na tej podstawie dopasowywać do nich reklamy”
    To Snowden ostrzegał przed inwigilacją bo rząd chce nam reklame wysłać?
    Takie mechanizmy mogą być w reklamie,ale pozyskiwanie danych to raczej szerszy problem.

    https://www.youtube.com/watch?v=RNJl9EEcsoE&app=desktop

  • Ciekawe, ale… jak wygląda to w przypadku użytkowników mobilnych? W końcu tutaj dostępnych możliwych konfiguracji sprzętu, systemu i oprogramowania jest o wiele mniej, a mobile zdobywa rynek…

    • nismo

      Użytkownicy mobilni odciski palców zostawiają dosłownie… producenci o to zadbali w większości nowych urządzeń. Zmienisz urządzenie, a kciuka nie :)

    • W większości współczesnych implementacji (przynajmniej oficjalnie) dane biometryczne są zapisywane w secure elemencie, więc nie tak łatwo je wyciągnąć…

      A na pewno nie tak łatwo go wyciągnąć stronie internetowej.

    • Daniel Stawicki

      Przecież każdy telefon jest zalogowany do konta apple, google czy Microsoft.

    • Co umożliwia śledzenie przez w/w firmy, a nie przez dowolną stronę w sieci.

  • Ma

    I już go namierzyli. I już przygotowali spersonalizowaną reklamę mającą go uszczęśliwić…

    A ten AdBlocka włączył.

    I du…

  • Alot

    Ai owszem, prywatność istnieje, tyle, że jest przez twórców przeglądarek IGNOROWANA, celowo.

    Gdyby istniała instancja prawna nakładająca sankcje za naruszenia prawa do prywatności, mogłoby się okazać, że ukarane przeglądarki trzeba wybebeszyć do cna, lub listę opcji ustaweianych ręcznie przez internautę powiększyć o kilka tysięcy pozycji.