Pull to refresh

Исследователи из Принстона обнаружили «теневой» инструмент идентификации пользователей в плагине AddThis

Information Security *


На днях в Сети появилось сразу несколько публикаций, тема которых — скрытый способ идентификации пользователей посещаемыми сайтами. Этот способ (получивший название «canvas fingerprint») весьма сложно, если вообще возможно, заблокировать стандартными методами, типа блокированием куков либо установкой AddBlock или сходных плагинов.

При этом такой способ идентификации уже обнаружен на 5% самых популярных сайтов мира, включая WhiteHouse.gov и YouPorn.com. Сам метод достаточно понятный: при заходе на какой-либо сайт, с установленным кодом отслеживания пользователя, такой ресурс запрашивает у браузера пользователя отрисовку скрытого изображения, причем рисуется текст, с использованием доступных системе шрифтов и рендерера. Набор шрифтов и методы сглаживания немного отличается на разных машинах. Рендерер зависит от версии браузера, ОС и даже GPU (спасибо Goodkat за дополнение). В итоге отрисованное изображение — уникально.

Отрисованное изображение можно использовать в качестве «отпечатка пальца», с присвоенным устройству уникальным идентификатором. Ну, а дальше, как говорится, уже дело техники — отслеживать ПК с присвоенным идентификатором и действия владельца этого ПК в Сети несложно. При этом, как уже говорилось выше, стандартными методами заблокировать подобный способ идентификации практически невозможно.

Исследователи выяснили, что код с идентификатором использовался на сайтах, которые сотрудничали с компанией AddThis. Как выяснилось, такой код установлен на 5% 100 тысяч топовых сайтов. Большинство «зараженных» сайтов использовали инструменты AddThis для социального взаимодействия, набор плагинов, где и был встроен участок с инструкцией для браузера по отрисовке изображения.

Все это не является чем-то очень новым, о подобных методах идентификации пользователей заявляли еще 2012 году, исследователи из Калифорнийского Университета.

В июне разработчики Tor Project даже добавили в свой браузер функцию уведомления пользователя о том, что какой-либо сайт пытается использовать описанный метод идентификации. На данный момент ни одна другая компания-разработчик браузеров не предложила аналогичного инструмента.

Кстати, годом ранее российский разработчик Валентин Васильев выложил в Сеть свой код с подобным методом идентификации пользователя. По словам Васильева, точность идентификации с использованием отрисовки скрытого изображения — около 90%. По словам Васильева, «Рисование специального изображения это только первая часть. Главное — это перевод PNG в бинарную форму, а затем в base64. За это в современных браузерах почти всегда отвечает GPU. Вот разница в графических процессорах и реализации PNG декодирования и выдает разные base64 строки на выходе. Canvas fingerprinting только один из множества источников, который добавляет несколько байт к энтропии. Основная часть это плагины и возможности браузера. Совокупный отпечаток строится, используя все возможности».

При этом мобильные устройства мало совместимы с таким методом.

Представители AddThis, насколько можно судить, доработали проект Васильева, и решили опробовать собственный код, разместив его в своем социальном плагине. По словам представителей компании, все это использовалось не по злому умыслу, а в качестве изучения возможности заменить куки чем-то другим. А сайты, на которых размещался код AddThis, не уведомлялись о наличии участка с инструментом идентификации, чтобы результаты теста «в полевых условиях» были максимально реальными.

Кроме того, AddThis сообщили, что данные уже идентифицированных пользователей не использовались в каких-либо целях, кроме уже указанного изучения возможности замены cookies альтернативными инструментами.

Via propublica
Tags:
Hubs:
Total votes 72: ↑64 and ↓8 +56
Views 46K
Comments Comments 63