Հիմնական տանողներ
- Հետազոտողը ստեղծել է մի կայք, որը ստեղծում է եզակի մատնահետք՝ հիմնված տեղադրված բրաուզերի ընդլայնումների վրա:
- Մատնահետքը կարող է օգտագործվել համացանցում օգտվողներին հետևելու համար, պնդում է հետազոտողը:
- Անվտանգության ոլորտի փորձագետներն առաջարկում են հեռացնել բոլոր ավելորդ ընդլայնումները՝ աչքի չընկնելու համար:
Ձեր վեբ բրաուզերի ընդլայնումները կարող են օգտագործվել համացանցում ձեզ եզակի նույնականացնելու համար:
Մարդկանց դա զգալու հնարավորություն տալու համար անվտանգության հետազոտողը ստեղծել է կայք, որը վերլուծում է տեղադրված Google Chrome ընդլայնումները՝ մատնահետք ստեղծելու համար, որը, ըստ նրա, կարող է օգտագործվել առցանց հետևելու համար:
«Ամեն անգամ, երբ համակարգչում ինչ-որ կիսաեզակի բան կա, այն կարող է օգտագործվել մատնահետք ստանալու համար»,- Lifewire-ին էլփոստով հայտնել է KnowBe4-ի անվտանգության իրազեկման պաշտպան Էրիխ Քրոնը: «Որքան եզակի է այդ մատնահետքը, կարող է կախված լինել այն բանից, թե ինչ է չափվում կամ փորձարկվում»:
Բրաուզերի մատնահետք
Հետազոտողը, ով օգտագործում է z0ccc կեղծանունը, բացատրեց, որ բրաուզերի մատնահետքը հզոր մեթոդ է, որն օգտագործում են շատ կայքեր՝ այցելուների մասին բոլոր տեսակի մանրամասներ հավաքելու համար, ներառյալ նրանց բրաուզերի տեսակը և տարբերակը, օպերացիոն համակարգը, ակտիվ հավելումները, ժամանակը: գոտի, լեզուն, էկրանի լուծաչափը և մի շարք այլ ակտիվ կարգավորումներ:
Նա պնդում էր, որ թեև այս տվյալների կետերն ինքնին կարող են մեծ օգուտ չունենալ, բայց եթե դրանք համակցվեն, դրանք կարող են օգնել եզակիորեն բացահայտել մեկ կոնկրետ անձի, քանի որ շատ փոքր հավանականություն կա, որ մի քանի մարդիկ ունենան տվյալների նույնական միավորներ:
Մեր գաղտնիության կանոնակարգերը շատ բան ունեն հասնելու:
«Կայքերն օգտագործում են այն տեղեկատվությունը, որը տրամադրում են բրաուզերները՝ բացահայտելու եզակի օգտվողներին և հետևելու նրանց առցանց վարքագծին», - բացատրում է z0ccc-ն: «Այս գործընթացը, հետևաբար, կոչվում է «զննարկիչի մատնահետք»:
Տեղադրված ընդլայնումների համակցության հիման վրա կայքը ստեղծում է հետագծման հեշ, որը կարող է օգտագործվել համացանցում տվյալ դիտարկիչին հետևելու համար:
Հետազոտողը բացատրեց, որ իր Extensions Fingerprint-ի թեստը հիմնված է բրաուզերի ընդլայնման որոշակի հատկությունների վրա, որոնք, ըստ նրա, առկա են ավելի քան 1100 ընդարձակման մեջ, ներառյալ՝ հայտնիները, ինչպիսիք են AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, և ավելին։
Նա խոստովանեց, որ որոշ ընդլայնումներ քայլեր են ձեռնարկում հայտնաբերումը կանխելու համար: Այնուամենայնիվ, նա գտավ նրանց վարքագիծն օգտագործելու հնարք՝ որոշելու, թե արդյոք այս պաշտպանված ընդլայնումներից որևէ մեկը տեղադրված է:
Հարցազրույցում z0ccc-ն հաստատել է, որ թեև ինքը չի հավաքում որևէ տվյալ տեղադրված ընդլայնումների վերաբերյալ այն մարդկանցից, ովքեր օգտագործում են իր կայքը, նրա թեստերը ցույց են տվել, որ 3+ ընդլայնումներ ունենալը կստեղծի յուրահատուկ մատնահետք:
Ըստ էության, այն մարդիկ, ովքեր չունեն տեղադրված ընդլայնումներ, կունենան նույն մատնահետքը, ինչը նրանց դարձնում է ավելի քիչ յուրահատուկ և դժվար է հետևել: Ընդհակառակը, շատ ընդլայնումներ ունեցողները կունենան ավելի քիչ տարածված մատնահետք, ինչը նրանց ավելի հակված կդարձնի հետևելու համար:
Ձեռնոցներն անջատված են
Lifewire-ի հետ էլփոստի քննարկման ժամանակ կիբերանվտանգության ծառայություններ մատուցող Cyphere-ի տնօրեն Հարման Սինգհն ասաց, որ բրաուզերի մատնահետքերը հայտնի տեխնիկա է, որն օգտագործվում է առցանց գովազդի և շուկայավարման կայքերի կողմից ամբողջ աշխարհում:
Տվյալների հավաքագրումը առցանց գովազդային էկոհամակարգի անբաժանելի մասն է, բացատրեց Սինգհը, և բրաուզերի մատնահետքերի այս տեսակը պարզապես ևս մեկ մեխանիզմ է, որն օգնում է նրանց նպատակային գովազդներ մատուցել:
Ավելին, նա ավելացրեց, որ նույնիսկ ֆինանսական հաստատությունները, ինչպիսիք են բանկերը, օգտագործում են դիտարկիչի մատնահետքերի այս մեթոդները՝ որպես խարդախության հայտնաբերման մեխանիզմների մաս՝ պարզելու, թե արդյոք իրենց այցելուը իսկական օգտատեր է, թե՞ վնասակար անոմալիա, ինչպիսին բոտն է:
Բրաուզերի մատնահետքը անօրինական չէ, քանի որ այն չի նույնականացնում օգտատիրոջը: Այնուամենայնիվ, տվյալների հավաքագրումը կարգավորվում է գաղտնիության մասին օրենքներով, ինչպիսիք են Տվյալների պաշտպանության ընդհանուր կանոնակարգը (GDPR) և Կալիֆորնիայի սպառողների գաղտնիության մասին օրենքը (CCPA), ավելացրել է Սինգհը::
Հատկապես խոսելով z0ccc-ի Extension Fingerprints թեստի մասին՝ Քրոնը բացատրեց, որ թեև այն հետաքրքիր է ակադեմիական տեսանկյունից, այն իր օգտակարությամբ սահմանափակ է թվում իր ներկայիս տեսքով:
«Բացի այդ, իմ սահմանափակ փորձարկման ժամանակ սա Edge բրաուզերում սովորական ընդլայնումներ չի գտել՝ վերադարձնելով նույն հեշը Chrome-ի համար ինկոգնիտո ռեժիմում, ինչպես դա արեց [Edge-ում՝ LastPass ընդլայնման տեղադրմամբ։ ասաց Կրոնը։ «Կան մատնահետքերի այլ մեթոդներ, որոնք օգտագործում են ապարատային սարքավորումները, օրինակ՝ տեղադրված գրաֆիկական քարտի կողմից կատարված հաշվարկները, որոնց շուրջ աշխատելը կարող է մի փոքր ավելի դժվար լինել»:
Որպեսզի մեզ օգնի մարդկանց առաջարկել ուղիներ, որոնք կօգնեն շրջանցել բրաուզերի նման մատնահետքերը, Սինգհն ասաց, որ սկսելու լավ տեղ է Panopticlick գործիքը, որը պատկերացում է տալիս, թե որքան և ինչպիսի տեղեկատվություն է ձեր վեբ զննարկիչը բացահայտում կայքերին:
Մյուս կողմից, Կրոնը կարծում է, որ միշտ լավ պրակտիկա է չօգտագործված բրաուզերի ընդլայնումները հեռացնելը կամ անջատելը:
«Համացանցի օգտատերերի համար հնարավոր չէ լիարժեք պաշտպանություն ունենալ հետևելու նման մեթոդներից, քանի դեռ օրենքով թելադրված չէ», - կարծում է Սինգհը: «Մեր գաղտնիության կանոնակարգերը շատ բան ունեն հասնելու»:
