Ključni podaci za van
- Istraživač je stvorio web mjesto koje generira jedinstveni otisak prsta na temelju instaliranih proširenja preglednika.
- Otisak prsta može se koristiti za praćenje korisnika diljem weba, tvrdi istraživač.
- Stručnjaci za sigurnost predlažu uklanjanje svih nepotrebnih proširenja kako biste izbjegli isticanje.
Proširenja u vašem web pregledniku mogu se koristiti za vašu jedinstvenu identifikaciju na webu.
Kako bi ljudima pružio priliku da to iskuse, sigurnosni istraživač je stvorio web stranicu koja analizira instalirana Google Chrome proširenja za generiranje otiska prsta, za koji tvrdi da se može koristiti za njihovo praćenje na mreži.
"Kad god postoji nešto polu-jedinstveno u računalu, to se može koristiti za izvođenje otiska prsta," Erich Kron, zagovornik svijesti o sigurnosti s KnowBe4, rekao je za Lifewire putem e-pošte. "Koliko je taj otisak prsta jedinstven može ovisiti o tome što se mjeri ili testira."
Otisak prsta preglednika
Istraživač, koji koristi pseudonim z0ccc, objasnio je da je otisak prsta u pregledniku moćna metoda koju mnoge web stranice koriste za prikupljanje svih vrsta pojedinosti o posjetiteljima, uključujući njihovu vrstu i verziju preglednika, njihov operativni sustav, aktivne dodatke, vrijeme zona, jezik, razlučivost zaslona i razne druge aktivne postavke.
Tvrdio je da iako ove podatkovne točke same po sebi možda nisu od velike koristi, kada se kombiniraju, mogle bi pomoći u jedinstvenoj identifikaciji jedne određene osobe, budući da postoji vrlo mala vjerojatnost da više ljudi ima isti skup podatkovnih točaka.
Naši propisi o privatnosti imaju puno toga za nadoknaditi.
"Web stranice koriste informacije koje preglednici pružaju za identifikaciju jedinstvenih korisnika i praćenje njihovog ponašanja na mreži," objasnio je z0ccc. "Ovaj proces se stoga naziva 'preglednik otiska prsta'."
Na temelju kombinacije instaliranih proširenja, web mjesto generira hash za praćenje koji se može koristiti za praćenje tog određenog preglednika na webu.
Istraživač je objasnio da se njegov test otiska prsta proširenja oslanja na određena svojstva proširenja preglednika, za koja je rekao da su prisutna u više od 1100 proširenja, uključujući popularna kao što su AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, i više.
Priznao je da neka proširenja poduzimaju korake kako bi spriječila otkrivanje. Međutim, pronašao je trik za korištenje njihovog ponašanja kako bi utvrdio je li bilo koje od ovih zaštićenih proširenja instalirano.
U intervjuu, z0ccc je potvrdio da iako ne prikuplja nikakve podatke o instaliranim proširenjima od ljudi koji koriste njegovu web stranicu, njegovi testovi su pokazali da će posjedovanje 3+ proširenja stvoriti jedinstveni otisak prsta.
U biti, ljudi bez instaliranih proširenja imat će isti otisak prsta, što ih čini manje jedinstvenima i teško ih je pratiti. Suprotno tome, oni s mnogo proširenja imat će rjeđi otisak prsta, što ih čini sklonijima praćenju.
Rukavice su skinute
U raspravi e-poštom s Lifewireom, Harman Singh, direktor u pružatelju usluga kibernetičke sigurnosti Cyphere, rekao je da je otisak prsta u pregledniku dobro poznata tehnika koju upotrebljavaju web stranice za online oglašavanje i marketing diljem svijeta.
Prikupljanje podataka sastavni je dio online oglašivačkog ekosustava, objasnio je Singh, a ova vrsta otiska prsta preglednika samo je još jedan mehanizam koji im pomaže u posluživanju ciljanih oglasa.
Nadalje, dodao je da čak i financijske institucije poput banaka koriste ove metode otiska prsta preglednika kao dio svojih mehanizama za otkrivanje prijevara kako bi otkrile je li njihov posjetitelj pravi korisnik ili zlonamjerna anomalija poput bota.
Otisak prsta u pregledniku nije nezakonit jer ne identificira korisnika. Međutim, prikupljanje podataka regulirano je zakonima o privatnosti kao što su Opća uredba o zaštiti podataka (GDPR) i Kalifornijski zakon o privatnosti potrošača (CCPA), dodao je Singh.
Govoreći konkretno o z0ccc Extension Fingerprints testu, Kron je objasnio da, iako je zanimljiv iz akademske perspektive, čini se ograničenom u svojoj korisnosti u svom trenutnom obliku.
"Osim toga, u mom ograničenom testiranju, ovo nije pokupilo uobičajena proširenja u pregledniku Edge, vraćajući isti hash za Chrome u anonimnom načinu rada, kao što je bilo [u] Edgeu s instaliranim proširenjem LastPass, " rekao je Kron. "Postojale su druge metode otiska prsta koje koriste hardver, izračune koje je napravila instalirana grafička kartica, na primjer, koje bi moglo biti malo teže zaobići."
Kako bi nam pomogao predložiti načine na koje ljudi mogu pomoći u zaobilaženju takvog otiska prsta preglednika, Singh je rekao da je dobro mjesto za početak alat Panopticlick, koji daje uvid u to koliko i kakve informacije vaš web preglednik otkriva web stranicama.
S druge strane, Kron vjeruje da je uvijek dobra praksa ukloniti ili onemogućiti nekorištena proširenja preglednika.
"Za korisnike interneta, nije moguće imati potpunu zaštitu od takvih tehnika praćenja osim ako to ne nalaže zakon," mišljenja je Singh. "Naši propisi o privatnosti imaju puno toga za nadoknaditi."