Kulcs elvitelek
- Egy kutató létrehozott egy webhelyet, amely egyedi ujjlenyomatot generál a telepített böngészőbővítmények alapján.
- Az ujjlenyomat felhasználható a felhasználók követésére az interneten, állítja a kutató.
- A biztonsági szakértők azt javasolják, hogy távolítson el minden szükségtelen bővítményt, hogy elkerülje a kitűnést.
A webböngészőjében található bővítmények felhasználhatók arra, hogy egyedileg azonosítsák Önt az interneten.
Annak érdekében, hogy az emberek ezt megtapasztalják, egy biztonsági kutató létrehozott egy webhelyet, amely elemzi a telepített Google Chrome-bővítményeket, hogy ujjlenyomatot generáljon, amely állítása szerint online nyomon követhető.
"Bármikor van valami félig egyedi a számítógépben, abból lehet ujjlenyomatot venni" - mondta Erich Kron, a KnowBe4 biztonságtudatossági szószólója a Lifewire-nek e-mailben. "Az, hogy az ujjlenyomat mennyire egyedi, attól függ, hogy mit mérnek vagy tesztelnek."
Böngésző ujjlenyomata
A z0ccc álnevet használó kutató elmagyarázta, hogy a böngésző ujjlenyomata egy hatékony módszer, amellyel sok webhely mindenféle adatot gyűjt a látogatókról, beleértve a böngésző típusát és verzióját, az operációs rendszert, az aktív beépülő modulokat, az időt. zóna, nyelv, képernyőfelbontás és számos egyéb aktív beállítás.
Azzal érvelt, hogy bár ezek az adatpontok önmagukban nem sok hasznot hoznak, kombinálva segíthetnek egy adott személy egyedi azonosításában, mivel nagyon kicsi az esélye annak, hogy több embernek ugyanaz az adatpontkészlete.
Az adatvédelmi szabályzatunknak sok mindent meg kell tennie.
"A webhelyek a böngészők által szolgáltatott információkat az egyedi felhasználók azonosítására és online viselkedésük nyomon követésére használják fel" - magyarázta z0ccc. "Ezt a folyamatot ezért "böngésző ujjlenyomatának" nevezik."
A telepített bővítmények kombinációja alapján a webhely nyomkövetési hash-t hoz létre, amellyel nyomon követhető az adott böngésző az interneten.
A kutató elmagyarázta, hogy az Extensions Fingerprint tesztje bizonyos böngészőbővítmények tulajdonságaira támaszkodik, amelyek szerinte több mint 1100 bővítményben megtalálhatók, köztük olyan népszerű bővítményekben, mint az AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, és így tovább.
Elismerte, hogy egyes bővítmények lépéseket tesznek az észlelés megakadályozására. Azonban talált egy trükköt, amellyel viselkedésük segítségével megállapíthatja, hogy telepítve van-e valamelyik védett bővítmény.
Egy interjúban z0ccc megerősítette, hogy bár nem gyűjt semmilyen adatot a telepített bővítményekről a webhelyét használóktól, tesztjei kimutatták, hogy 3+ bővítmény egyedi ujjlenyomatot hoz létre.
Lényegében azoknak az embereknek, akiknek nincs telepítve bővítményük, ugyanaz az ujjlenyomata, így kevésbé egyediek és nehezen követhetők. Ezzel szemben a sok kiterjesztéssel rendelkezők ujjlenyomata kevésbé gyakori, így hajlamosabbak a nyomon követésre.
A kesztyű le van tiltva
A Lifewire-rel folytatott e-mailes megbeszélésen Harman Singh, a Cyphere kiberbiztonsági szolgáltató igazgatója elmondta, hogy a böngésző ujjlenyomat-vétele az online hirdetési és marketing webhelyek által világszerte használt technika.
Az adatgyűjtés az online hirdetési ökoszisztéma szerves része, magyarázta Singh, és az ilyen típusú böngészők ujjlenyomat-vétele csak egy újabb mechanizmus, amely segíti őket a célzott hirdetések kiszolgálásában.
Továbbá hozzátette, hogy még a pénzintézetek, például a bankok is használják ezeket a böngésző ujjlenyomat-vételi módszereket csalásészlelési mechanizmusaik részeként annak megállapítására, hogy látogatójuk valódi felhasználó-e vagy rosszindulatú anomália, mint egy bot.
A böngésző ujjlenyomata nem illegális, mivel nem azonosítja a felhasználót. Az adatok gyűjtését azonban az adatvédelmi törvények szabályozzák, mint például az Általános adatvédelmi rendelet (GDPR) és a California Consumer Privacy Act (CCPA) – tette hozzá Singh.
Kifejezetten a z0ccc Extension Fingerprints tesztjéről beszélve Kron kifejtette, hogy bár tudományos szempontból érdekes, jelenlegi formájában korlátozottnak tűnik a hasznossága.
"Ezen túlmenően a korlátozott tesztelésem során ez nem vette fel a gyakori bővítményeket az Edge böngészőben, és ugyanazt a hash-t adta vissza a Chrome számára inkognitó módban, mint [az Edge-ben, amikor a LastPass bővítmény telepítve volt, " - mondta Kron. "Léteznek más, hardvert használó ujjlenyomat-vételi módszerek, például a telepített grafikus kártya által végzett számítások, amelyeket kicsit nehezebb megkerülni."
Singh azt mondta, hogy jó kiindulópont a Panopticlick eszköz, amely betekintést nyújt abba, hogy a webböngésző mennyi és milyen információt tár fel a webhelyek számára, hogy segítsen nekünk olyan módszereket javasolni, amelyekkel az emberek segíthetnek megkerülni az ilyen böngészők ujjlenyomatát.
Másrészt Kron úgy véli, hogy mindig jó gyakorlat a nem használt böngészőbővítmények eltávolítása vagy letiltása.
"Az internet-felhasználók számára nem lehetséges teljes védelem az ilyen nyomkövetési technikák ellen, hacsak a törvény nem írja elő" - vélekedett Singh. "Az adatvédelmi szabályzatunknak sok mindent meg kell tennie."
