Mga Key Takeaway
- Gumawa ang isang mananaliksik ng website na bumubuo ng natatanging fingerprint batay sa mga naka-install na extension ng browser.
- Maaaring gamitin ang fingerprint para subaybayan ang mga user sa web, sabi ng mananaliksik.
- Iminumungkahi ng mga eksperto sa seguridad na tanggalin ang lahat ng hindi kinakailangang extension para maiwasan ang paglabas.
Maaaring gamitin ang mga extension sa iyong web browser upang natatanging makilala ka sa web.
Upang mabigyan ng pagkakataon ang mga tao na maranasan ito, gumawa ang isang security researcher ng website na sinusuri ang mga naka-install na extension ng Google Chrome para makabuo ng fingerprint, na sinasabi niyang magagamit para subaybayan sila online.
"Anumang oras na mayroong semi-natatanging bagay sa isang computer, maaari itong magamit upang makakuha ng fingerprint, " sinabi ni Erich Kron, tagapagtaguyod ng kaalaman sa seguridad sa KnowBe4, sa Lifewire sa pamamagitan ng email. "Ang pagiging kakaiba ng fingerprint na iyon ay maaaring depende sa kung ano ang sinusukat o sinusubok."
Browser Fingerprinting
Ang mananaliksik, na gumagamit ng pseudonym z0ccc, ay ipinaliwanag na ang fingerprinting ng browser ay isang mabisang paraan na ginagamit ng maraming website upang mangolekta ng lahat ng uri ng mga detalye tungkol sa mga bisita, kabilang ang kanilang uri at bersyon ng browser, kanilang operating system, aktibong plugin, oras zone, wika, resolution ng screen, at iba pang aktibong setting.
Nangatuwiran siya na bagama't ang mga punto ng data na ito ay maaaring walang gaanong pakinabang sa kanilang sarili, kapag pinagsama-sama, makakatulong ang mga ito sa natatanging pagtukoy ng isang partikular na tao, dahil napakaliit ng pagkakataon ng maraming tao na magkaroon ng parehong hanay ng mga punto ng data.
Maraming dapat abutin ang aming mga regulasyon sa privacy.
"Ginagamit ng mga website ang impormasyong ibinibigay ng mga browser upang matukoy ang mga natatanging user at subaybayan ang kanilang online na gawi," paliwanag ng z0ccc. "Samakatuwid, ang prosesong ito ay tinatawag na 'browser fingerprinting.'"
Batay sa kumbinasyon ng mga naka-install na extension, bumubuo ang website ng tracking hash na magagamit upang subaybayan ang partikular na browser na iyon sa buong web.
Ipinaliwanag ng mananaliksik na ang kanyang Extensions Fingerprint test ay umaasa sa ilang partikular na katangian ng extension ng browser, na aniya ay nasa mahigit 1100 extension, kabilang ang mga sikat tulad ng AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, at higit pa.
Aminin niya na may ilang extension na gumagawa ng mga hakbang upang maiwasan ang pag-detect. Gayunpaman, nakakita siya ng trick para gamitin ang kanilang gawi para matukoy kung na-install ang alinman sa mga protektadong extension na ito.
Sa isang panayam, pinatunayan ng z0ccc na bagama't hindi siya nangongolekta ng anumang data tungkol sa mga naka-install na extension mula sa mga taong gumagamit ng kanyang website, ipinakita ng kanyang mga pagsusuri na ang pagkakaroon ng 3+ extension ay lilikha ng natatanging fingerprint.
Sa esensya, ang mga taong walang naka-install na extension ay magkakaroon ng parehong fingerprint, na gagawing hindi gaanong kakaiba at mahirap subaybayan. Sa kabaligtaran, ang mga may maraming extension ay magkakaroon ng hindi gaanong karaniwang fingerprint, na ginagawa silang mas madaling masubaybayan.
Gloves Are Off
Sa isang talakayan sa email kasama ang Lifewire, sinabi ni Harman Singh, Direktor sa cybersecurity service provider na Cyphere, ang fingerprinting ng browser ay isang kilalang pamamaraan na ginagamit ng mga online advertising at marketing website sa buong mundo.
Ang pangongolekta ng data ay isang mahalagang bahagi ng online advertising ecosystem, paliwanag ni Singh, at ang ganitong uri ng fingerprinting ng browser ay isa lamang mekanismo upang matulungan silang maghatid ng mga naka-target na advertisement.
Higit pa rito, idinagdag niya na maging ang mga institusyong pampinansyal tulad ng mga bangko ay gumagamit ng mga paraan ng fingerprinting ng browser na ito bilang bahagi ng kanilang mga mekanismo ng pagtuklas ng panloloko upang matukoy kung ang kanilang bisita ay isang tunay na user o isang malisyosong anomalya tulad ng isang bot.
Ang fingerprinting ng browser ay hindi labag sa batas dahil hindi nito nakikilala ang isang user. Gayunpaman, ang pangongolekta ng data ay pinamamahalaan ng mga batas sa privacy gaya ng General Data Protection Regulation (GDPR) at California Consumer Privacy Act (CCPA), idinagdag ni Singh.
Partikular na pinag-uusapan ang tungkol sa pagsusulit sa Extension Fingerprints ng z0ccc, ipinaliwanag ni Kron na bagama't kawili-wili ito mula sa akademikong pananaw, tila limitado ang pagiging kapaki-pakinabang nito sa kasalukuyang anyo nito.
"Sa karagdagan, sa aking limitadong pagsubok, hindi ito nakakuha ng mga karaniwang extension sa Edge browser, na nagbabalik ng parehong hash para sa Chrome sa Incognito mode, tulad ng ginawa nito [sa] Edge na may naka-install na LastPass extension, " sabi ni Kron. "Mayroong iba pang paraan ng fingerprinting na gumagamit ng hardware, mga kalkulasyon na ginawa ng naka-install na graphics card, halimbawa, na maaaring mas mahirap gawin."
Upang matulungan kaming magmungkahi ng mga paraan para makatulong ang mga tao na iwasan ang naturang browser fingerprinting, sinabi ni Singh na isang magandang lugar upang magsimula ay ang Panopticlick tool, na nagbibigay ng insight sa kung gaano karami at kung anong uri ng impormasyon ang ibinubunyag ng iyong web browser sa mga website.
Sa kabilang banda, naniniwala si Kron na palaging magandang kasanayan ang pag-alis o pag-disable ng mga hindi nagamit na extension ng browser.
"Para sa mga user ng Internet, hindi posibleng magkaroon ng kumpletong proteksyon laban sa mga naturang diskarte sa pagsubaybay maliban kung idinidikta ng batas," ayon kay Singh. "Maraming dapat abutin ang aming mga regulasyon sa privacy."