Ausztrál, francia és izraeli kutatók egy újfajta ujjlenyomat technikát mutattak be, amely a gép grafikus feldolgozó egységét (GPU) kihasználva tartósan nyomon követi a felhasználókat a világhálón.
A DrawnApart névre keresztelt módszer "a GPU stack egyedi tulajdonságai alapján azonosítja az eszközt" - mondták az új tanulmány szerzői, hozzátéve, hogy "a GPU-t alkotó több végrehajtó egység sebességének változása megbízható és robusztus eszközaláírásként szolgálhat, amelyet egy nem privilegizált JavaScript segítségével lehet összegyűjteni".
Az eszközujjlenyomat olyan információ, amelyet egy távoli számítástechnikai eszköz hardveréről, a telepített szoftverekről, valamint a webböngészőről és a hozzá tartozó kiegészítőkről gyűjtenek egyedi azonosítás céljából.
Az ujjlenyomatok azonban kétélű fegyvert jelenthetnek. Egyrészt az ujjlenyomat-algoritmus lehetővé teheti egy szolgáltató (például bank) számára a személyazonosság-lopás és a hitelkártyacsalás felderítését és megelőzését. Ugyanakkor visszaélhetnek azzal, hogy hosszú távú nyilvántartást készítsenek az egyének böngészési tevékenységéről, hogy célzott reklámokat küldhessenek nekik.
A böngésző-ujjlenyomatok készítése hasonló módon elsősorban a böngészőből származó kulcsfontosságú információk összeillesztésére támaszkodik az ujjlenyomat létrehozásakor. Az attribútumok széles skálán mozognak: a böngésző verziója, operációs rendszere, időzónája, képernyője, nyelve, a betűtípusok listája, sőt még a böngésző szöveg- és grafikus megjelenítési módja is.
A böngésző-ujjlenyomatoknak azonban van egy nagy hátrányuk: idővel változhatnak, ami megnehezíti a felhasználók hosszabb ideig történő nyomon követését. Itt jön a képbe a DrawnApart.
Ez nem csak az első olyan mechanizmus, amely az azonos GPU-k közötti gyártási különbségek feltárására és fegyverként való felhasználására szolgál, hanem arra is, hogy a megközelítést megbízhatóan használja az azonos hardver- és szoftverkonfigurációjú gépek megkülönböztetésére, hatékonyan aláásva a felhasználók magánéletét - írja a The Hacker News.
A javasolt nyomkövető rendszer lényege, hogy a WebGL API segítségével a különböző grafikus primitívek rendereléséhez szükséges időt méri, amelyek mindegyike a GPU-t alkotó különböző végrehajtó egységeket célozza meg, hogy létrehozzon egy ujjlenyomat-nyomot, amelyet aztán egy mély tanulási hálózatba táplálnak, hogy egyedileg azonosítsák az azt létrehozó konkrét eszközt.
Egy 88 eszközt - köztük Windows 10 asztali számítógépeket, Apple Mac mini készülékeket és Samsung Galaxy okostelefonok több generációját - tartalmazó értékelő beállításban a kutatók megállapították, hogy a DrawnApart a legkorszerűbb ujjlenyomat-összekötő algoritmusokkal, például az FP-STALKER-rel együtt alkalmazva a nyomkövetési időszak átlagának mediánját 17,5 napról 28 napra növelte.
A GPU-ujjlenyomat-képzési módszer blokkolására irányuló ellenintézkedések a szkriptek blokkolásától a WebGL letiltásáig, valamint az egyes weboldalak egyetlen végrehajtási egységre való korlátozásáig, vagy akár a hardveresen gyorsított renderelés kikapcsolásáig terjednek. Ez a lépés a kutatók figyelmeztetése szerint súlyosan befolyásolhatja a használhatóságot és a reakciókészséget.
A WebGPU-szabvány - amely jelenleg a Google Chrome és a Mozilla Firefox kanári verzióiban érhető el - folyamatban lévő fejlesztése várhatóan drasztikusan csökkenteni fogja az ujjlenyomat gyűjtéséhez szükséges időt, ami arra a következtetésre készteti a tudósokat, hogy "a gyorsított számítási API-k felhasználói adatvédelemre gyakorolt hatásait figyelembe kell venni, mielőtt globálisan engedélyezik őket".
