Los investigadores han demostrado un nuevo tipo de técnica de huellas digitales que explota la unidad de procesamiento de gráficos (GPU) de una máquina como un medio para rastrear a los usuarios a través de la web de manera persistente.
Doblado dibujado aparte, el método «identifica un dispositivo a partir de las propiedades únicas de su pila de GPU», dijeron investigadores de Australia, Francia e Israel en un nuevo artículo, y agregaron que «las variaciones en la velocidad entre las múltiples unidades de ejecución que componen una GPU pueden servir como un Firma de dispositivo confiable y robusta, que se puede recopilar utilizando JavaScript sin privilegios».
Una huella digital del dispositivo o la huella digital de la máquina es información que se recopila sobre el hardware, el software instalado, así como el navegador web y sus complementos asociados desde un dispositivo informático remoto con el propósito de una identificación única.
Las huellas dactilares pueden ser un arma de doble filo. Por un lado, un algoritmo de huellas dactilares puede permitir que un proveedor de servicios (por ejemplo, un banco) detecte y prevenga el robo de identidad y el fraude con tarjetas de crédito. Pero también se puede abusar de él para compilar registros a largo plazo de la actividad de navegación de las personas para publicidad dirigida.
La toma de huellas dactilares del navegador, de manera similar, se basa principalmente en unir piezas clave de información obtenidas del navegador para crear la huella dactilar. Los atributos abarcan toda la gama, abarcando la versión del navegador, el sistema operativo, la zona horaria, la pantalla, el idioma, la lista de fuentes e incluso la forma en que el navegador representa el texto y los gráficos.
Pero las huellas dactilares del navegador también tienen un inconveniente importante, ya que pueden evolucionar con el tiempo, lo que dificulta el seguimiento de los usuarios durante períodos prolongados. Ahí es donde entra DrawnApart.
No solo es el primer mecanismo de su tipo para explorar y armar las diferencias de fabricación entre GPU idénticas, sino también para usar de manera confiable el enfoque para distinguir entre máquinas con configuraciones de hardware y software idénticas, lo que socava la privacidad de los usuarios.
En esencia, el sistema de seguimiento propuesto consiste en medir el tiempo necesario para representar diferentes gráficos primitivos utilizando el API WebGL, cada uno dirigido a diferentes unidades de ejecución que comprenden una GPU, para crear un rastro de huellas dactilares que luego se alimenta a una red de aprendizaje profundo para identificar de manera única el dispositivo específico que lo generó.
En una configuración de evaluación que consta de 88 dispositivos, incluidas computadoras de escritorio con Windows 10, dispositivos Apple Mac mini y varias generaciones de teléfonos inteligentes Samsung Galaxy, los investigadores descubrieron que cuando se usa junto con algoritmos de vinculación de huellas dactilares de última generación como FP-STALKER, DrawnApart amplió el período medio de seguimiento medio de 17,5 días a 28 días.
Las contramedidas para bloquear el método de huellas dactilares de la GPU van desde el bloqueo de secuencias de comandos hasta la desactivación de WebGL y la limitación de cada página web a una única unidad de ejecución, o incluso la desactivación del procesamiento acelerado por hardware, un movimiento que, según advierten los investigadores, podría afectar gravemente la usabilidad y la capacidad de respuesta.
Además, el desarrollo en curso en el WebGPU estándar: actualmente disponible en versiones Canary de Google Chrome y Mozilla Firefox – se espera que reduzca drásticamente el tiempo necesario para recopilar la huella digital, lo que llevó a los académicos a concluir que «los efectos de las API de cómputo acelerado en la privacidad del usuario deben considerarse antes de que se habiliten globalmente».
