Come vengono utilizzate le impronte digitali audio e della batteria per tracciarti online

I siti Web e le società pubblicitarie adorano sapere chi sei e cosa fai sul web. Più possono scoprire su di te e cosa ti piace, meglio possono indirizzare gli annunci su di te. Naturalmente, la maggior parte degli utenti di Internet non è troppo entusiasta di fornire loro informazioni così intime e invasive sulla privacy. Ciò si traduce in una crescente corsa agli armamenti tra gli inserzionisti desiderosi di identificare in modo univoco i visitatori del sito Web e di rintracciarli mentre navigano sul Web e gli utenti ordinari di Internet desiderosi di proteggere la propria privacy. Un'arma sempre più importante nell'arsenale degli inserzionisti è l'impronta digitale ...


Ho già discusso delle impronte digitali del browser. Questa tecnica invasiva utilizza attributi che rendono il browser Web diverso dai browser di altri utenti (come nome del browser, sistema operativo e numero esatto di versione del browser, font e plugin installati, tipi di dati supportati (i cosiddetti tipi MIME), schermo risoluzione, colori di sistema e altro) per identificarti in modo univoco quando visiti un sito Web. E una volta identificato in modo univoco, puoi essere monitorato mentre visiti altri siti Web.

Ho anche discusso dell'impronta digitale su tela, una forma speciale di impronta digitale del browser che utilizza uno script che chiede al browser di disegnare un'immagine nascosta e quindi utilizza minuscole variazioni nel modo in cui l'immagine viene disegnata per generare un codice ID univoco, che può quindi essere utilizzato per rintracciarti.

Impronte digitali audio (o AudioContext)

I ricercatori dell'Università di Princeton hanno scoperto (.pdf) che l'uso di una nuova variante di questa idea, l'impronta digitale audio, sta diventando sempre più comune. Questa tecnica sfrutta l'API JavaScript AudioContect per aiutare a identificare in modo univoco gli utenti,

"I segnali audio elaborati su macchine o browser diversi potrebbero presentare lievi differenze a causa delle differenze hardware o software tra le macchine, mentre la stessa combinazione di macchina e browser produrrà lo stesso output ... L'uso dell'API AudioContext per l'impronta digitale non raccoglie l'audio riprodotto o registrato dalla tua macchina. Un'impronta digitale AudioContext è una proprietà dello stack audio della macchina stessa. "

Dettagli sull'impronta digitale audio

Se desideri vedere la tua impronta digitale audio, i ricercatori hanno creato la pagina di prova delle impronte digitali AudioContext, che fornisce una visualizzazione della tua impronta digitale in base alle informazioni raccolte utilizzando le API AudioContext e Canvas installate sul tuo sistema.

Impronta digitale audiocontesto

Batteria (API di stato) Fingerprinting

Questa tecnica utilizza una "caratteristica" HTML5 poco nota chiamata API di stato della batteria per rilevare la carica residua della batteria del tuo laptop, tablet o smartphone quando visiti un sito Web.

La specifica ufficiale del World Wide Web Consortium (W3C, l'organizzazione che sovrintende allo sviluppo degli standard del web) afferma che questa API ha un impatto minimo sulla privacy. Un documento (.pdf) di ricercatori di sicurezza francesi e belgi, tuttavia, lo ha scoperto,

"Uno script di terze parti presente su più siti Web può collegare le visite degli utenti in un breve intervallo di tempo sfruttando le informazioni sulla batteria fornite agli script Web. Per fare ciò, gli script possono utilizzare i valori di livello della batteria, dischargingTime e chargeTime. Le letture saranno coerenti su ciascuno dei siti, in quanto gli intervalli di aggiornamento (e i relativi tempi) sono identici. Ciò potrebbe consentire allo script di terze parti di collegare queste visite simultanee. Inoltre, nel caso in cui l'utente lasci questi siti ma poi, poco dopo, visiti un altro sito con lo stesso script di terze parti, le letture verrebbero probabilmente utilizzate per aiutare a collegare la visita corrente a quelle precedenti. "

I ricercatori hanno anche osservato che oltre a monitorare i visitatori del sito Web utilizzando il loro livello di batteria, la capacità della batteria potrebbe essere utilizzata anche come vettore di monitoraggio. Anche l'impronta digitale della batteria è menzionata nel documento di Princeton, sebbene quei ricercatori abbiano trovato solo due sceneggiature che lo hanno sfruttato.

Suggerimento: i miei ringraziamenti al lettore Pogue, che ha inviato il seguente suggerimento per disabilitare l'API di stato della batteria in Firefox. In circa: config set dom.battery.enabled = false

Tecniche di localizzazione combinate

Forse la scoperta più interessante nel documento di Princeton è che i siti Web e le società di analisi degli annunci pubblicano una serie di tecniche, che in combinazione sono in grado di sconfiggere i tentativi sempre più vigorosi degli utenti di impedire tale tracciamento,

“Ghostery e una combinazione di EasyList e EasyPrivacy hanno entrambi prestazioni simili nella loro frequenza di blocco. Gli strumenti per la privacy bloccano le impronte digitali su tela su oltre l'80% dei siti e bloccano le impronte digitali su tela su oltre il 90%. Tuttavia, solo una frazione del numero totale di script che utilizzano le tecniche viene bloccata (tra l'8% e il 25%), dimostrando che mancano terze parti meno popolari. Le tecniche meno conosciute, come il rilevamento IP WebRTC e l'impronta digitale audio, hanno tassi di rilevamento ancora più bassi. "

Il fingerprinting dei caratteri canvas è una funzionalità di fingerprinting del browser "normale" (che utilizza un elenco di caratteri del browser per aiutare a identificare un utente) e il rilevamento IP WebRTC è la stessa "caratteristica" che consente ai siti Web di accedere al vero indirizzo IP degli utenti anche quando si utilizza una VPN ( il "bug" di WebRTC).

Conclusione

È proprio a causa dell'uso diffuso di tattiche così invasive e decisamente subdole da parte degli inserzionisti che un numero sempre crescente di utenti di Internet si sta rivolgendo agli adblocker. I siti Web e le società pubblicitarie lamentano la perdita di entrate, ma è colpa loro.

Non abbiamo dato loro il permesso di spiarci, costruendo profili di noi sempre più precisi e inquietanti mentre navighiamo su Internet, al fine di rimorchiarci meglio le cose. Quando abbiamo adottato misure esplicite per evitare che ciò accada (come imparare a gestire i nostri cookie), i siti Web sono effettivamente entrati in guerra contro i propri visitatori (e clienti).

Sono stati sviluppati metodi sempre più subdoli per spiare gli utenti di interesse, nonostante siano contrari sia ai nostri migliori interessi che ai nostri desideri (in realtà, sono stati sviluppati proprio a causa dei nostri tentativi di eludere tale tracciamento).

I siti Web devono trarre profitto dai contenuti o dai servizi spesso eccezionali che forniscono, ma fino a quando non lo fanno onestamente, in modo trasparente e utilizzando un modello che non invade la nostra privacy contro i nostri desideri, l'ascesa dei consumatori che votano con i loro annunci pubblicitari sarà solo salire.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me