Bài học rút ra chính
- Một nhà nghiên cứu đã tạo một trang web tạo ra một dấu vân tay duy nhất dựa trên các tiện ích mở rộng trình duyệt đã cài đặt.
- Có thể sử dụng dấu vân tay để theo dõi người dùng trên web, nhà nghiên cứu khẳng định.
- Các chuyên gia bảo mật khuyên bạn nên xóa tất cả các tiện ích mở rộng không cần thiết để tránh nổi bật.
Các tiện ích mở rộng trong trình duyệt web của bạn có thể được sử dụng để nhận dạng duy nhất bạn trên web.
Để mọi người có cơ hội trải nghiệm điều này, một nhà nghiên cứu bảo mật đã tạo một trang web phân tích các tiện ích mở rộng Google Chrome đã cài đặt để tạo ra một dấu vân tay, mà anh ta tuyên bố có thể được sử dụng để theo dõi chúng trực tuyến.
"Bất cứ khi nào có thứ gì đó bán duy nhất trong máy tính, nó có thể được sử dụng để lấy dấu vân tay", Erich Kron, người ủng hộ nhận thức về bảo mật của KnowBe4, nói với Lifewire qua email. "Dấu vân tay đó độc đáo như thế nào có thể phụ thuộc vào những gì đang được đo lường hoặc kiểm tra."
Trình duyệt lấy dấu vân tay
Nhà nghiên cứu, người sử dụng bút danh z0ccc, giải thích rằng lấy dấu vân tay trình duyệt là một phương pháp mạnh mẽ mà nhiều trang web sử dụng để thu thập tất cả các loại thông tin chi tiết về khách truy cập, bao gồm loại và phiên bản trình duyệt, hệ điều hành, plugin hoạt động, thời gian của họ. vùng, ngôn ngữ, độ phân giải màn hình và nhiều cài đặt hoạt động khác.
Anh ấy lập luận rằng mặc dù những điểm dữ liệu này có thể không được sử dụng nhiều nhưng khi được kết hợp với nhau, chúng có thể giúp xác định duy nhất một người cụ thể, vì có rất ít khả năng nhiều người có cùng một tập hợp các điểm dữ liệu.
Các quy định về quyền riêng tư của chúng tôi đã bắt kịp rất nhiều điều.
"Các trang web sử dụng thông tin mà trình duyệt cung cấp để xác định người dùng duy nhất và theo dõi hành vi trực tuyến của họ", z0ccc giải thích. "Do đó, quá trình này được gọi là 'lấy dấu tay trình duyệt.'"
Dựa trên sự kết hợp của các tiện ích mở rộng đã cài đặt, trang web tạo ra một hàm băm theo dõi có thể được sử dụng để theo dõi trình duyệt cụ thể đó trên toàn bộ web.
Nhà nghiên cứu giải thích rằng kiểm tra Vân tay Tiện ích mở rộng của anh ấy dựa trên một số thuộc tính tiện ích mở rộng của trình duyệt, mà theo anh ấy là có mặt trong hơn 1100 tiện ích mở rộng, bao gồm cả những tiện ích mở rộng phổ biến như AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, và hơn thế nữa.
Anh ấy thừa nhận rằng một số tiện ích mở rộng thực hiện các bước để ngăn chặn sự phát hiện. Tuy nhiên, anh ta đã tìm ra một thủ thuật để sử dụng hành vi của chúng để xác định xem có bất kỳ tiện ích mở rộng được bảo vệ nào được cài đặt hay không.
Trong một cuộc phỏng vấn, z0ccc khẳng định rằng mặc dù anh ấy không thu thập bất kỳ dữ liệu nào về các tiện ích mở rộng đã cài đặt từ những người sử dụng trang web của anh ấy, nhưng các thử nghiệm của anh ấy đã cho thấy rằng có hơn 3 tiện ích mở rộng sẽ tạo ra một dấu vân tay duy nhất.
Về bản chất, những người không có phần mở rộng được cài đặt sẽ có cùng một dấu vân tay, khiến họ trở nên kém độc đáo và khó theo dõi. Ngược lại, những người có nhiều phần mở rộng sẽ có dấu vân tay ít phổ biến hơn, khiến chúng dễ bị theo dõi hơn.
Găng tay đang tắt
Trong một cuộc thảo luận qua email với Lifewire, Harman Singh, Giám đốc tại nhà cung cấp dịch vụ an ninh mạng Cyphere, cho biết lấy dấu vân tay trình duyệt là một kỹ thuật nổi tiếng được sử dụng bởi các trang web quảng cáo và tiếp thị trực tuyến trên toàn thế giới.
Thu thập dữ liệu là một phần không thể thiếu của hệ sinh thái quảng cáo trực tuyến, Singh giải thích và loại dấu vân tay trình duyệt này chỉ là một cơ chế khác để giúp họ phân phát các quảng cáo được nhắm mục tiêu.
Hơn nữa, anh ấy nói thêm rằng ngay cả các tổ chức tài chính như ngân hàng cũng sử dụng các phương pháp lấy dấu vân tay của trình duyệt này như một phần của cơ chế phát hiện gian lận của họ để phát hiện xem khách truy cập của họ là người dùng chính hãng hay một kẻ bất thường độc hại như bot.
Việc lấy dấu vân tay của trình duyệt không phải là bất hợp pháp vì nó không xác định được người dùng. Tuy nhiên, việc thu thập dữ liệu được điều chỉnh bởi các luật về quyền riêng tư như Quy định chung về bảo vệ dữ liệu (GDPR) và Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA), Singh nói thêm.
Nói cụ thể về bài kiểm tra Dấu vân tay Mở rộng của z0ccc, Kron giải thích rằng mặc dù nó thú vị từ góc độ học thuật, nhưng nó có vẻ hạn chế về tính hữu dụng ở dạng hiện tại.
"Ngoài ra, trong thử nghiệm giới hạn của tôi, điều này đã không chọn các tiện ích mở rộng phổ biến trong trình duyệt Edge, trả lại cùng một hàm băm cho Chrome ở chế độ Ẩn danh, như đã làm [trong] Edge với tiện ích mở rộng LastPass được cài đặt," Kron nói. "Đã có những phương pháp lấy dấu vân tay khác sử dụng phần cứng, chẳng hạn như các phép tính được thực hiện bởi cạc đồ họa được cài đặt, có thể khó hơn một chút để xử lý."
Để giúp chúng tôi đề xuất những cách giúp mọi người tránh được việc lấy dấu vân tay trình duyệt như vậy, Singh cho biết một nơi tốt để bắt đầu là công cụ Panopticlick, cung cấp thông tin chi tiết về lượng và loại thông tin mà trình duyệt web của bạn đang tiết lộ cho các trang web.
Mặt khác, Kron tin rằng việc xóa hoặc tắt các tiện ích mở rộng không sử dụng của trình duyệt luôn là một phương pháp hay.
"Đối với người dùng Internet, không thể có biện pháp bảo vệ hoàn toàn chống lại các kỹ thuật theo dõi như vậy trừ khi có quy định của pháp luật," Singh nói. "Các quy định về quyền riêng tư của chúng tôi đã bắt kịp rất nhiều điều."
