Digitaalinen painatus kankaalla

Canvas-sormenjälki  on yksi online-käyttäjien seurantalaitteiden sormenjälkien menetelmistä , jonka avulla verkkosivustot voivat tunnistaa ja seurata kävijöitä HTML5 Canva -sovelluksella ilman evästeiden tai muiden vastaavien keinojen käyttöä. Tämä menetelmä sai merkittävää huomiota mediassa vuonna 2014 [1] [2] [3] [4] Princetonin yliopiston ja KU Leuvenin tutkijoiden kuvattua sitä artikkelissaan The Web Never Forgets . [5]

Kuvaus

Canvasin digitaalinen sormenjälki toimii HTML5 Canvas -elementin avulla . Kuten Gunesh Akar ja muut ovat kuvanneet: [5]

Versiot, joihin on asennettu grafiikkasuoritusyksikkö (GPU) tai näytönohjain, voivat muuttaa digitaalista sormenjälkeä. Sormenjälki voidaan tallentaa ja jakaa kumppaneiden kanssa käyttäjien tunnistamiseksi heidän vieraillessaan sidossivustoilla. Profiili voidaan luoda käyttäjän online-toiminnan perusteella, jolloin mainostajat voivat kohdistaa mainoksia käyttäjän aiottuun väestöön ja mieltymyksiin. [3] [6]

Tammikuuhun 2022 mennessä tämä konsepti oli laajennettu grafiikkalaitteiston suorituskykyspesifikaatioksi, jota tutkijat kutsuivat DrawnApartiksi . [7]

Ainutlaatuisuus

Koska sormenjälki riippuu ensisijaisesti mahdollisten selainasetusten, käyttöjärjestelmän ja asennetun grafiikkalaitteiston yhdistelmistä, se ei tunnista käyttäjiä yksiselitteisesti. Pienessä tutkimuksessa, johon osallistui 294 Amazon Mechanical Turkin osallistujaa, havaittiin 5,7 bitin kokeellinen entropia . Tutkimuksen tekijät ehdottavat, että vapaissa olosuhteissa voidaan havaita suurempi todennäköisyysjakauman epävarmuuden arvo ja suurella määrällä sormenjäljessä käytettyjä parametreja. Vaikka tämä sormenjälki ei yksin riitä tunnistamaan yksittäisiä käyttäjiä, se voidaan yhdistää muihin entropialähteisiin yksilöllisen tunnisteen tuottamiseksi. Väitetään, että koska tämä menetelmä kaappaa tehokkaasti GPU:n sormenjäljen, todennäköisyysjakauman epävarmuuden mitta on "ortogonaalinen" aiempien selaimen sormenjälkimenetelmien entropiaan, kuten näytön resoluutioon ja selaimen kykyyn käsitellä JavaScript-pyyntöjä. [kahdeksan]

Ainutlaatuisempi tunnistus vuonna 2022 julkaistulla DrawnApartilla . Ja kun sitä käytetään parantamaan muita menetelmiä, se lisää yksittäisten digitaalisten sormenjälkien seuranta-aikaa 67 %. [7]

Historia

Toukokuussa 2012 Kalifornian yliopiston San Diegon tutkijat Keaton Mowery ja Hovav Shaham kirjoittivat "Pixel Perfect: HTML5 Fingerprint Canvas", jossa kuvataan, kuinka HTML5 Canvaa voidaan käyttää digitaalisten sormenjälkien luomiseen verkkokäyttäjistä. [3] [8]

Sosiaaliset kirjanmerkit - teknologiayritys AddThis aloitti digitaalisen sormenjälkien kokeilun Canvasin avulla vuoden 2014 alussa mahdollisena korvaajana evästeille . 5 % 100 000 suosituimmasta verkkosivustosta on käyttänyt Canvas-sormenjälkiä taustainfrastruktuurissaan. [9] AddThisin toimitusjohtaja Richard Harrisin mukaan yritys käytti näiden testien tietoja vain sisäiseen tutkimukseen. Käyttäjät voivat kieltäytyä evästetietojen keräämisestä millä tahansa tietokoneella, jotta AddThis ei seuraa heitä sormenjälkien avulla Canvasin avulla. [3]

Ohjelmistokehittäjä kertoi Forbesille, että laitteen sormenjälkiä käytettiin estämään luvaton pääsy järjestelmiin kauan ennen kuin niitä käytettiin seuraamaan käyttäjiä ilman heidän suostumustaan. [2]

Vuodesta 2014 lähtien tämä menetelmä on ollut laajalti käytössä monilla verkkosivustoilla, ja sitä käyttää ainakin tusina tunnettua verkkomainonnan ja käyttäjien seurannan tarjoajaa. [kymmenen]

Vuonna 2022 canvas-sormenjälkien ottokykyä on parannettu huomattavasti ottamalla huomioon pienet erot saman GPU-mallin nimellisesti identtisten lohkojen välillä. Nämä erot johtuvat valmistusprosessista, mikä tekee yksiköistä ajan mittaan deterministisempiä kuin identtisten kopioiden välillä. [7]

Riskin vähentäminen

Torin ohjedokumentaatiossa sanotaan : "Lisäosien ja laajennusten tarjoamien tietojen jälkeen uskomme, että HTML5 Canvas on suurin selaimia kohtaama sormenjälkiuhka." [11] Tor-selain ilmoittaa käyttäjälle yrityksistä lukea kangasta ja tarjoaa mahdollisuuden palauttaa tyhjät kuvatiedot laitteen sormenjälkien estämiseksi. [5] Tor-selain ei kuitenkaan tällä hetkellä pysty erottamaan Canvas-elementin laillista käyttöä sormenjälkien ottamisesta, joten sen varoitusta ei voida pitää todisteena verkkosivuston aikomuksesta tunnistaa ja seurata kävijöitä. Selaimen lisäosat, kuten Privacy Badger, [9] DoNotTrackMe, [12] tai Adblock Plus [13] , jotka on lisätty manuaalisesti EasyPrivacy-luetteloon, voivat estää kolmannen osapuolen mainosverkoston seurantalaitteet ja ne voidaan määrittää estämään sormenjälkien otto Canvasin avulla, jos seurantalaite palvelee kolmannen osapuolen palvelin (toisin kuin vieraillun verkkosivuston toteuttama itse). Canvas Defender -selainlaajennus Firefoxille ja Chromelle luo teknologian avulla ainutlaatuisen ja jatkuvan laitekohinan estämättä JS-API-puheluita, väärentää digitaalisen sormenjäljen Canvasin avulla. Useat selaimen havaitsemisen estävät selaimet perustuvat samanlaiseen tekniikkaan. [neljätoista]

LibreWolf-selainprojekti sisältää teknologiaa, joka estää pääsyn Canvasiin (HTML5) oletusarvoisesti sallien sen vain tietyissä käyttäjän sallimissa tapauksissa.

Katso myös

Muistiinpanot

  1. Knibbs, Kate. Mitä sinun tulee tietää ovelimmasta uudesta online-seurantatyökalusta . Gizmodo (21. heinäkuuta 2014). Haettu: 21.7.2014.
  2. 12 Joseph Steinberg . Harhaanjohtava uusi tekniikka jäljittää sinua verkossa – tässä on mitä sinun tulee tietää . Forbes (23. heinäkuuta 2014). Käyttöönottopäivä: 15.11.2014.
  3. 1 2 3 4 Angwin, Julia. Tutustu online-seurantalaitteeseen, jota on käytännössä mahdotonta estää . ProPublica (21. heinäkuuta 2014). Haettu: 21.7.2014.
  4. Kirk, Jeremy. Hiljaiset Web-seurantatyökalut aiheuttavat käyttäjille lisää tietosuojariskejä . PC World (21. heinäkuuta 2014). Haettu: 21.7.2014.
  5. 1 2 3
  6. Nikiforakis, Nick; Acar, Günes Browser Fingerprinting ja Online-Tracking Arms Race . www.ieee.org . IEEE (25. heinäkuuta 2014). Haettu: 31. lokakuuta 2014.
  7. ↑ 1 2 3 Laor, Tomer; Mehanna, Naif; Durey, Antonin; Dyadyuk, Vitaly; Laperdrix, Pierre; Maurice, Clémentine; Oren, Yossi; Rouvoy, Romain; Rudametkin, Walter; Yarom, Yuval (2022). "DRAWNAPART: GPU-etäsormenjälkiin perustuva laitteen tunnistustekniikka" . Proceedings 2022 Network and Distributed System Security Symposium . DOI : 10.14722/ndss.2022.24093 .
  8. 12 Mowery , Keaton. Pixel Perfect: Sormenjälkikangas HTML5:ssä . Haettu: 22.3.2018.
  9. 12 Davis, Wendy . EFF sanoo, että sen seurantatyökalu estää uuden digitaalisen sormenjälkien muodon . MediaPost (21. heinäkuuta 2014). Haettu: 21.7.2014.
  10. Verkkosivustot, joissa käytetään HTML5-kanvas-sormenjälkiä . webcookies.org. Käyttöpäivä: 28. joulukuuta 2014. Arkistoitu alkuperäisestä 28. joulukuuta 2014.
  11. Tor-selaimen suunnittelu ja toteutus [LUONNOS ] . www.torproject.org . Haettu: 25.5.2018.
  12. Kirk, Jeremy. "Canvas-sormenjälkien" verkkoseuranta on harhaanjohtavaa, mutta se on helppo pysäyttää . PC World (25. heinäkuuta 2014). Haettu 9. elokuuta 2014.
  13. Smith, Chris Adblock Plus: Voimme lopettaa kanvas-sormenjälkien oton, "pysäyttämättömän" uuden selaimen seurantatekniikan . B.G.R. _ PMC. Arkistoitu alkuperäisestä 28. heinäkuuta 2014.

Linkit