Hvordan lyd- og batterifingeravtrykk brukes til å spore deg online

Nettsteder og reklamefirmaer elsker å vite hvem du er og hva du får til på nettet. Jo mer de kan finne ut om deg og hva du liker, jo bedre kan de målrette annonser mot deg. Selvfølgelig er de fleste internettbrukere ikke så opptatt av å gi dem slik intim og personverninngripende informasjon. Dette resulterer i et eskalerende våpenløp mellom annonsører som er opptatt av å identifisere besøkende på nettet og spore dem mens de surfer på nettet, og vanlige internettbrukere som er opptatt av å beskytte deres personvern. Et stadig mer fremtredende våpen i annonsørenes arsenal er fingeravtrykk ...


Jeg har diskutert nettleserens fingeravtrykk før. Denne invasive teknikken bruker attributter som gjør nettleseren din forskjellig fra andres brukers nettlesere (for eksempel nettlesernavn, operativsystem og nøyaktig versjonsnummer for nettleseren, installerte skrifter og plugins, støttede datatyper (såkalte MIME-typer), skjerm oppløsning, systemfarger og mer) for å identifisere deg på en unik måte når du besøker et nettsted. Og når du er unikt identifisert, kan du spores når du besøker andre nettsteder.

Jeg har også diskutert lerret fingeravtrykk, en spesiell form for nettleser fingeravtrykk som bruker et skript som ber nettleseren din tegne et skjult bilde, og deretter bruker ørsmå variasjoner i hvordan bildet tegnes for å generere en unik ID-kode, som deretter kan brukes å spore deg.

Fingeravtrykk for lyd (eller AudioContext)

Forskere ved Princeton University har funnet (.pdf) at bruk av en ny variant av denne ideen, lydfingeravtrykk, blir stadig mer vanlig. Denne teknikken utnytter JavaScript AudioContect API for å hjelpe identifisere brukere på en unik måte,

“Lydsignaler behandlet på forskjellige maskiner eller nettlesere kan ha små forskjeller på grunn av maskinvare- eller programvareforskjeller mellom maskinene, mens den samme kombinasjonen av maskin og nettleser vil produsere den samme utdata… Å bruke AudioContext API til fingeravtrykk samler ikke lyd spilt eller spilt inn av maskinen din. Et fingeravtrykk fra AudioContext tilhører selve maskinens lydbunke. ”

Detaljer om lydavtrykkavtrykk

Hvis du ønsker å se lydfingeravtrykket ditt, har forskerne opprettet testsiden for AudioContext-fingeravtrykk, som gir en visualisering av fingeravtrykket ditt basert på informasjon samlet inn ved hjelp av APIene AudioContext og Canvas som er installert på systemet ditt..

Fingeravtrykk for lydkontekst

Batteri (Status API) Fingerprinting

Denne teknikken bruker en lite kjent HTML5-funksjon som heter Battery Status API for å oppdage hvor mye batteristrøm som er igjen på den bærbare datamaskinen, nettbrettet eller smarttelefonen når du besøker et nettsted..

Den offisielle World Wide Web Consortium (W3C, organisasjonen som fører tilsyn med utviklingen av nettets standarder) -spesifikasjon sier at denne API-en har en minimal innvirkning på personvernet. Et papir (.pdf) av franske og belgiske sikkerhetsforskere fant det imidlertid,

"Et tredjepartsskript som er til stede på flere nettsteder, kan koble brukernes besøk i løpet av kort tid ved å utnytte batteriinformasjonen som er gitt til webskript. For å gjøre det, kan skript bruke verdiene batterinivå, utladningstid og ladetid. Avlesningene vil være konsistente på hvert av nettstedene, på grunn av det faktum at oppdateringsintervallene (og deres tider) er identiske. Dette kan gjøre det mulig for tredjepartsskriptet å koble sammen disse samtidig besøkene. I tilfelle at brukeren forlater disse nettstedene, men deretter kort tid etter besøker et annet nettsted med det samme tredjepartsskriptet, vil avlesningene sannsynligvis bli brukt til å hjelpe til med å knytte det aktuelle besøket med de foregående. "

Forskerne bemerket også at i tillegg til å spore besøkende på nettstedet som bruker batterinivået, kan batterikapasitet også brukes som sporingsvektor. Fingeravtrykk for batteri er også nevnt Princeton-papir, selv om disse forskerne bare fant to skript som utnyttet det.

Tips: Min takk til leseren Pogue, som sendte inn følgende tips for å deaktivere Battery Status API i Firefox. I ca: config sett dom.battery.enabled = falsk

Kombinerte sporingsteknikker

Det kanskje mest interessante funnet i Princeton-papiret er at nettsteder og annonseanalyseselskaper bruker en rekke teknikker, som i kombinasjon er i stand til å beseire brukernes stadig kraftigere forsøk på å forhindre slik sporing.,

“Ghostery og en kombinasjon av EasyList og EasyPrivacy presterer begge på samme måte som i blokkeringsraten. Personvernverktøyene blokkerer lerrets fingeravtrykk på over 80% av nettstedene, og blokkerer lerretets fingeravtrykk på over 90%. Imidlertid blokkeres bare en brøkdel av det totale antallet skript som bruker teknikkene (mellom 8% og 25%), noe som viser at mindre populære tredjeparter går glipp av. Mindre kjente teknikker, som WebRTC IP-funn og lydavtrykkavtrykk, har enda lavere påvisningsgrad. ”

Fingeravtrykkavtrykk for lerret er en funksjon i "vanlig" nettleserfingeravtrykk (ved å bruke en nettleserens fontliste for å identifisere en bruker), og WebRTC IP-oppdagelse er den samme "funksjonen" som lar nettsteder til brukernes sanne IP-adresse selv når du bruker en VPN ( WebRTC “feilen”).

Konklusjon

Det er nettopp på grunn av den utbredte bruken av så inngripende og rett og slett snikende taktikker fra annonsører som stadig økende antall internettbrukere henvender seg til adblockere. Nettsteder og reklamefirmaer beklager tapet av inntekter, men det er deres egen skyld.

Vi ga dem ikke tillatelse til å spionere etter oss, og bygge opp stadig mer nøyaktige og skumle profiler av oss når vi surfer på internett for bedre å tømme oss. Da vi tok eksplisitte tiltak for å forhindre at dette skulle skje (for eksempel å lære å administrere informasjonskapslene våre), gikk nettsteder effektivt i krig mot sine egne besøkende (og kunder).

Flere og flere underhåndede metoder for å spionere på interessebrukere er utviklet, til tross for at de er i strid med både vårt beste og våre ønsker (de er faktisk utviklet nøyaktig på grunn av våre forsøk på å unngå slike sporinger).

Nettsteder trenger å tjene penger på det ofte gode innholdet eller tjenestene de tilbyr, men inntil de gjør det ærlig, gjennomsiktig og bruker en modell som ikke invaderer vårt privatliv mot våre ønsker, vil fremveksten av forbrukere som stemmer med sine annonseblokkere bare stige.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me