მთავარი წაღებები
- მკვლევარმა შექმნა ვებსაიტი, რომელიც ქმნის უნიკალურ თითის ანაბეჭდს დაყენებული ბრაუზერის გაფართოებების საფუძველზე.
- თითის ანაბეჭდის გამოყენება შესაძლებელია მომხმარებლების თვალყურის დევნებისთვის ინტერნეტში, ამტკიცებს მკვლევარი.
- უსაფრთხოების ექსპერტები გვირჩევენ ამოიღოთ ყველა არასაჭირო გაფართოება, რათა არ გამოირჩეოდეთ.
თქვენს ბრაუზერში არსებული გაფართოებები შეიძლება გამოყენებულ იქნას თქვენი ცალსახად იდენტიფიცირებისთვის.
ადამიანებს ამის გამოცდილების მისაცემად, უსაფრთხოების მკვლევარმა შექმნა ვებსაიტი, რომელიც აანალიზებს დაინსტალირებულ Google Chrome გაფართოებებს თითის ანაბეჭდის შესაქმნელად, რომელიც, მისი თქმით, შეიძლება გამოყენებულ იქნას ონლაინ თვალყურის დევნისთვის.
"ნებისმიერ დროს, როცა კომპიუტერში არის რაღაც ნახევრად უნიკალური, ის შეიძლება გამოყენებულ იქნას თითის ანაბეჭდის მისაღებად", განუცხადა ერიხ კრონმა, KnowBe4-ის უსაფრთხოების დამცველმა, Lifewire-ს ელფოსტით. "რამდენად უნიკალურია ეს თითის ანაბეჭდი, შეიძლება დამოკიდებული იყოს იმაზე, თუ რა ხდება გაზომვაზე ან ტესტირებაზე."
ბრაუზერის თითის ანაბეჭდი
მკვლევარმა, რომელიც იყენებს ფსევდონიმს z0ccc, განმარტა, რომ ბრაუზერის თითის ანაბეჭდი არის მძლავრი მეთოდი, რომელსაც ბევრი ვებსაიტი იყენებს ვიზიტორების შესახებ ყველა სახის ინფორმაციის შესაგროვებლად, მათ შორის ბრაუზერის ტიპისა და ვერსიის, მათი ოპერაციული სისტემის, აქტიური დანამატების, დროის შესახებ. ზონა, ენა, ეკრანის გარჩევადობა და სხვა სხვა აქტიური პარამეტრები.
ის ამტკიცებდა, რომ მიუხედავად იმისა, რომ ეს მონაცემთა პუნქტები შეიძლება თავისთავად არ იყოს დიდად გამოსაყენებელი, მათი კომბინირებისას მათ შეუძლიათ დაეხმარონ ერთი კონკრეტული ადამიანის ცალსახად იდენტიფიცირებას, რადგან არსებობს ძალიან მცირე შანსი, რომ მრავალ ადამიანს ჰქონდეს მონაცემთა ერთი და იგივე ნაკრები.
ჩვენს კონფიდენციალურობის რეგულაციას ბევრი რამ აქვს დასაჭერი.
"საიტები იყენებენ ინფორმაციას, რომელსაც ბრაუზერები აწვდიან უნიკალური მომხმარებლების იდენტიფიცირებისთვის და მათი ონლაინ ქცევის თვალყურის დევნებისთვის", - განმარტა z0ccc. "ამ პროცესს, შესაბამისად, ეწოდება "ბრაუზერის თითის ანაბეჭდი".
დაინსტალირებული გაფართოებების კომბინაციიდან გამომდინარე, ვებსაიტი წარმოქმნის თვალთვალის ჰეშს, რომელიც შეიძლება გამოყენებულ იქნას ამ კონკრეტული ბრაუზერის თვალის დევნებისთვის ვებზე.
მკვლევარმა განმარტა, რომ მისი Extensions Fingerprint ტესტი ეყრდნობა ბრაუზერის გაფართოების გარკვეულ თვისებებს, რომლებიც, მისი თქმით, წარმოდგენილია 1100-ზე მეტ გაფართოებაში, მათ შორის პოპულარულებში, როგორიცაა AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, და სხვა.
მან აღიარა, რომ ზოგიერთი გაფართოება იღებს ზომებს გამოვლენის თავიდან ასაცილებლად. თუმცა, მან იპოვა ხრიკი მათი ქცევის გამოსაყენებლად იმის დასადგენად, დაინსტალირებული იყო თუ არა რომელიმე ამ დაცული გაფართოება.
ინტერვიუში z0ccc-მ დაადასტურა, რომ მიუხედავად იმისა, რომ ის არ აგროვებს მონაცემებს დაინსტალირებული გაფართოებების შესახებ იმ ადამიანებისგან, ვინც იყენებს მის ვებსაიტს, მისმა ტესტებმა აჩვენა, რომ 3+ გაფართოება შექმნის უნიკალურ თითის ანაბეჭდს.
არსებითად, ადამიანებს, რომლებსაც არ აქვთ დაინსტალირებული გაფართოებები, ექნებათ იგივე თითის ანაბეჭდი, რაც მათ ნაკლებად უნიკალურს გახდის და ძნელად თვალის დევნებას. პირიქით, მათ, ვისაც ბევრი გაფართოება აქვთ, ექნებათ ნაკლებად გავრცელებული თითის ანაბეჭდი, რაც მათ უფრო მიდრეკილს გახდის თვალთვალისკენ.
ხელთათმანები გამორთულია
Lifewire-თან ელ. დისკუსიისას ჰარმან სინგმა, კიბერუსაფრთხოების სერვისის პროვაიდერის Cyphere-ის დირექტორმა თქვა, რომ ბრაუზერის თითის ანაბეჭდი არის ცნობილი ტექნიკა, რომელსაც იყენებენ ონლაინ რეკლამის და მარკეტინგის ვებსაიტები მთელ მსოფლიოში.
მონაცემთა შეგროვება არის ონლაინ სარეკლამო ეკოსისტემის განუყოფელი ნაწილი, განმარტა სინგმა, და ამ ტიპის ბრაუზერის თითის ანაბეჭდი არის კიდევ ერთი მექანიზმი, რომელიც ეხმარება მათ მიზნობრივი რეკლამის მომსახურებაში.
გარდა ამისა, მან დაამატა, რომ ისეთი ფინანსური ინსტიტუტებიც კი, როგორიცაა ბანკები, იყენებენ ბრაუზერის თითის ანაბეჭდის ამ მეთოდებს, როგორც თაღლითობის აღმოჩენის მექანიზმის ნაწილი, რათა დაადგინონ, არის თუ არა მათი სტუმარი ნამდვილი მომხმარებელი თუ მავნე ანომალია, როგორიცაა ბოტი.
ბრაუზერის თითის ანაბეჭდი არ არის უკანონო, რადგან ის არ ახდენს მომხმარებლის იდენტიფიცირებას. თუმცა, მონაცემთა შეგროვება რეგულირდება კონფიდენციალურობის შესახებ კანონებით, როგორიცაა მონაცემთა დაცვის ზოგადი რეგულაცია (GDPR) და კალიფორნიის მომხმარებელთა კონფიდენციალურობის კანონი (CCPA), დასძინა სინგმა.
საუბრისას კონკრეტულად z0ccc-ის გაფართოების თითის ანაბეჭდების ტესტზე, კრონმა განმარტა, რომ მიუხედავად იმისა, რომ ის საინტერესოა აკადემიური პერსპექტივიდან, ის შეზღუდულია მისი სარგებლიანობით მისი ამჟამინდელი ფორმით.
"გარდა ამისა, ჩემს შეზღუდულ ტესტირებაში, ამან არ მოიპოვა საერთო გაფართოებები Edge ბრაუზერში, დააბრუნა იგივე ჰეში Chrome-ისთვის ინკოგნიტო რეჟიმში, როგორც ეს მოხდა [Edge-ში LastPass გაფართოებით დაინსტალირებული, " თქვა კრონმა. "არსებობდა თითის ანაბეჭდის სხვა მეთოდები, რომლებიც იყენებენ აპარატურას, დაყენებული გრაფიკული ბარათის მიერ გაკეთებულ გამოთვლებს, მაგალითად, რომლებზე მუშაობა შეიძლება ცოტა უფრო რთული იყოს."
იმისთვის, რომ დაგვეხმაროს, შემოგთავაზოთ გზები, რათა დაეხმაროს ადამიანებს ბრაუზერის ასეთი თითის ანაბეჭდის გვერდის ავლით, სინგმა თქვა, რომ დასაწყებად კარგი ადგილია Panopticlick ინსტრუმენტი, რომელიც გვაწვდის ინფორმაციას იმის შესახებ, თუ რამდენ და რა სახის ინფორმაციას ავლენს თქვენი ვებ ბრაუზერი ვებსაიტებზე.
მეორეს მხრივ, კრონს მიაჩნია, რომ ყოველთვის კარგი პრაქტიკაა გამოუყენებელი ბრაუზერის გაფართოებების წაშლა ან გამორთვა.
"ინტერნეტის მომხმარებლებისთვის შეუძლებელია სრული დაცვა ასეთი თვალთვალის ტექნიკისგან, თუ არ არის ნაკარნახევი კანონით", - თქვა სინგმა. "ჩვენს კონფიდენციალურობის რეგულაციას ბევრი რამ აქვს დასაჭერი."
