Onderzoekers hebben een nieuw type vingerafdruktechniek gedemonstreerd die gebruikmaakt van de grafische verwerkingseenheid (GPU) van een machine om gebruikers permanent op internet te volgen.
nagesynchroniseerd Uit elkaar getrokken, de methode “identificeert een apparaat aan de hand van de unieke eigenschappen van zijn GPU-stack”, zeiden onderzoekers uit Australië, Frankrijk en Israël in een nieuw artikel, “toevoegend “variaties in snelheid tussen de meerdere uitvoeringseenheden waaruit een GPU bestaat, kunnen dienen als een betrouwbare en robuuste apparaathandtekening, die kan worden verzameld met onbevoegd JavaScript.”
Een apparaatvingerafdruk of machinevingerafdruk is informatie die wordt verzameld over de hardware, geïnstalleerde software, evenals de webbrowser en de bijbehorende add-ons van een extern computerapparaat met het oog op unieke identificatie.
Vingerafdrukken kunnen een tweesnijdend zwaard zijn. Enerzijds kan een vingerafdrukalgoritme een dienstverlener (bijvoorbeeld een bank) in staat stellen identiteitsdiefstal en creditcardfraude op te sporen en te voorkomen. Maar het kan ook worden misbruikt om langetermijngegevens van de browse-activiteit van individuen samen te stellen voor gerichte advertenties.
Browser-vingerafdrukken zijn in dezelfde geest voornamelijk gebaseerd op het samenvoegen van belangrijke stukjes informatie die uit de browser zijn verzameld om de vingerafdruk te maken. De attributen lopen uiteen van de browserversie, het besturingssysteem, de tijdzone, het scherm, de taal, de lijst met lettertypen en zelfs de manier waarop de browser tekst en afbeeldingen weergeeft.
Maar vingerafdrukken van browsers hebben ook een groot nadeel: ze kunnen in de loop van de tijd evolueren, waardoor het moeilijker wordt om gebruikers voor langere tijd te volgen. Dat is waar DrawnApart om de hoek komt kijken.
Het is niet alleen het eerste mechanisme in zijn soort om de fabricageverschillen tussen identieke GPU’s te onderzoeken en te bewapenen, maar ook voor het betrouwbaar gebruiken van de benadering om onderscheid te maken tussen machines met identieke hardware- en softwareconfiguraties, waardoor de privacy van gebruikers effectief wordt ondermijnd.
In de kern omvat het voorgestelde volgsysteem het meten van de tijd die nodig is om verschillende grafische primitieven te renderen met behulp van de WebGL-API, elke targeting anders executie-eenheden die een GPU bevatten, om een vingerafdrukspoor te creëren dat vervolgens wordt ingevoerd in een deep learning-netwerk om het specifieke apparaat dat het heeft gegenereerd op unieke wijze te identificeren.
In een evaluatie-opstelling bestaande uit 88 apparaten, waaronder Windows 10-desktops, Apple Mac mini-apparaten en meerdere generaties Samsung Galaxy-smartphones, ontdekten de onderzoekers dat bij gebruik in combinatie met ultramoderne algoritmen voor het koppelen van vingerafdrukken, zoals FP-STALKER, DrawnApart verlengde de mediane gemiddelde trackingperiode van 17,5 dagen naar 28 dagen.
Tegenmaatregelen om de GPU-vingerafdrukmethode te blokkeren, variëren van het blokkeren van scripts tot het uitschakelen van WebGL en het beperken van elke webpagina tot een enkele uitvoeringseenheid, of zelfs het uitschakelen van hardware-versnelde weergave – een stap waarvan de onderzoekers waarschuwen dat deze de bruikbaarheid en het reactievermogen ernstig kunnen beïnvloeden.
Verder is de voortgaande ontwikkeling naar de WebGPU standaard – momenteel beschikbaar in kanarie-releases van Google Chrome en Mozilla Firefox – zal naar verwachting de tijd die nodig is om de vingerafdruk te verzamelen drastisch verminderen, wat de academici ertoe brengt te concluderen dat “de effecten van versnelde computer-API’s op de privacy van gebruikers moeten worden overwogen voordat ze wereldwijd worden ingeschakeld.”
