Jak se používá otisky zvuku a baterie pro sledování online

Webové stránky a reklamní společnosti rádi vědí, kdo jste a co na webu najdete. Čím více se o vás mohou dozvědět a co se vám líbí, tím lépe na vás mohou cílit reklamy. Většina uživatelů internetu samozřejmě příliš nezajímá, aby jim poskytovali takové důvěrné a soukromí invazivní informace. To má za následek zvyšující se závod ve zbrojení mezi inzerenty, kteří chtějí jedinečně identifikovat návštěvníky webových stránek a sledovat je, když procházejí web, a běžní uživatelé internetu, kteří chtějí chránit své soukromí. Stále výraznější zbraní v arzenálu inzerentů je otisky prstů…

Diskutoval jsem o fingerprintu prohlížeče již dříve. Tato invazivní technika používá atributy, které odlišují váš webový prohlížeč od prohlížečů ostatních uživatelů (jako je název prohlížeče, operační systém a přesné číslo verze prohlížeče, nainstalovaná písma a pluginy, podporované datové typy (tzv. Typy MIME), obrazovka rozlišení, systémové barvy a další), které vás při návštěvě webové stránky jednoznačně identifikují. A jakmile budete jedinečně identifikováni, můžete být sledováni při návštěvě jiných webových stránek.

Také jsem hovořil o otisku prstu na plátně, což je zvláštní forma otisku prstu v prohlížeči, která používá skript, který vyžaduje, aby váš prohlížeč nakreslil skrytý obrázek, a poté pomocí drobných variací v tom, jak je obrázek nakreslen, vygeneruje jedinečný identifikační kód, který lze poté použít sledovat vás.

Otisky zvuku (nebo AudioContext)

Vědci z Princeton University zjistili (.pdf), že použití nové variace na tuto myšlenku, zvukový otisk, je stále běžnější. Tato technika využívá rozhraní JavaScript AudioContect API, které pomáhá jednoznačně identifikovat uživatele,

„Zvukové signály zpracované na různých strojích nebo prohlížečích se mohou mírně lišit v důsledku hardwarových nebo softwarových rozdílů mezi stroji, zatímco stejná kombinace zařízení a prohlížeče bude produkovat stejný výstup… Použití rozhraní AudioContext API pro otisky prstů neshromažďuje přehrávaný ani zaznamenávaný zvuk vaším strojem. Otisk prstu AudioContext je vlastnost samotného zvukového zásobníku vašeho stroje. “

Podrobnosti o zvukových otiscích prstů

Pokud chcete vidět svůj zvukový otisk, vědci vytvořili testovací stránku otisků prstů AudioContext, která poskytuje vizualizaci otisků prstů na základě informací shromážděných pomocí rozhraní API AudioContext a Canvas nainstalovaných ve vašem systému..

Otisk audiokontextů

Otisky prstů z baterie (Status API)

Tato technika používá málo známou „funkci“ HTML5 nazvanou API stavu baterie k detekci toho, kolik energie baterie je ponecháno notebooku, tabletu nebo chytrému telefonu při návštěvě webu.

Oficiální specifikace World Wide Web Consortium (W3C, organizace, která dohlíží na vývoj webových standardů), uvádí, že toto API má minimální dopad na soukromí. Dokument (.pdf) francouzských a belgických výzkumných pracovníků v oblasti bezpečnosti však zjistil, že,

„Skript třetí strany, který je přítomen na více webech, může návštěvníky v krátkém časovém intervalu propojit využitím informací o bateriích poskytnutých webovým skriptům. Za tímto účelem mohou skripty používat hodnoty úrovně nabití baterie, vybíjení a doba nabíjení. Hodnoty budou konzistentní na každém z webů, protože intervaly aktualizace (a jejich časy) jsou identické. To by umožnilo skriptu třetí strany propojit tyto souběžné návštěvy. Navíc, pokud uživatel opustí tyto weby, ale poté, krátce nato, navštíví jinou webovou stránku se stejným skriptem třetí strany, údaje by se pravděpodobně využily k propojení stávající návštěvy s předchozími. “

Vědci také poznamenali, že kromě sledování návštěvníků webových stránek pomocí jejich úrovně nabití baterie lze jako sledovací vektor použít také kapacitu baterie. Otisky baterií se zmiňují také o papíru Princeton, ačkoli tito vědci našli pouze dva skripty, které jej využívaly.

Tip: Děkuji čtenáři Pogueovi, který poslal následující tip k deaktivaci rozhraní Battery Status API ve Firefoxu. Asi o: config set dom.battery.enabled = false

Kombinované techniky sledování

Snad nejzajímavějším nálezem v knize Princeton je to, že weby a společnosti zabývající se analýzou reklamy používají řadu technik, které v kombinaci dokážou porazit stále intenzivnější pokusy uživatelů zabránit takovému sledování,

„Duch a kombinace EasyListu a EasyPrivacy fungují obdobně co do blokové rychlosti. Nástroje ochrany osobních údajů blokují otisk prstu na více než 80% webů a otisk prstu na plátně na více než 90%. Blokována je však pouze zlomek z celkového počtu skriptů využívajících techniky (mezi 8% a 25%), což ukazuje, že chybí méně populární třetí strany. Méně známé techniky, jako je zjišťování IP WebRTC a zvukové otisky prstů, mají ještě nižší míru detekce. “

Otisk prstu na plátně je funkcí „běžného“ otisku prstu v prohlížeči (pomocí seznamu písem prohlížeče k identifikaci uživatele) a zjišťování IP WebRTC je stejná „funkce“, která umožňuje webům skutečnou IP adresu uživatelů, i když používají VPN ( „chyba“ WebRTC).

Závěr

Právě díky rozsáhlému používání takové invazivní a vytrvalé záludné taktiky ze strany inzerentů se stále větší počet uživatelů internetu obrací k adblockerům. Webové stránky a reklamní společnosti zabraňují ztrátě příjmů, ale je to jejich vlastní chyba.

Nedovolili jsme jim, aby nás špehovali, abychom si při surfování po internetu vytvořili stále přesnější a strašidelnější profily, abychom mohli lépe bičovat věci. Když jsme přijali výslovná opatření, abychom tomu zabránili (například naučili se spravovat naše soubory cookie), weby skutečně bojovaly proti svým vlastním návštěvníkům (a zákazníkům)..

Byly vyvinuty stále více nepodložené metody špehování uživatelů zájmů, a to i přesto, že jsou proti našim nejlepším zájmům a našim přáním (ve skutečnosti byly vyvinuty právě kvůli našim pokusům vyhnout se takovýmto sledování)..

Webové stránky musejí vydělávat peníze z často skvělého obsahu nebo služeb, které poskytují, ale dokud tak neučiní čestně, transparentně a za použití modelu, který nenapadne naše soukromí proti našim přáním, vzroste počet zákazníků, kteří hlasují se svými blokovacími zařízeními, pouze stoupat.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me