Zarówno opuszek palca, jak i jego odpowiednik w postaci unikatowych informacji przeglądarki to skuteczny sposób na zidentyfikowanie danej osoby. O ile trudno jest zdobyć odcisk palca bez wiedzy konkretnej osoby, o tyle wszelkiego rodzaju serwisy internetowe identyfikują użytkowników poprzez ich „odcisk palca” dostępny w przeglądarce — i nie zawsze robią to w ich interesie.
Grupa ludzi z Uniwersytetu Bundeswehry w Monachium utworzyła rozszerzenie przeglądarki umożliwiające użytkownikom sprawdzanie, które przeglądarki gromadzą ich przeglądarkowe odciski palców i jak to robią. Ponadto zespół ten przeanalizował 10 tysięcy popularnych stron internetowych, aby sprawdzić, jakiego rodzaju informacje gromadzą. Zagadnienie to omówił jeden z członków zespołu, Julian Fietkau, podczas wydarzenia Remote Chaos Communication Congress (RC3).
Co to jest odcisk palca przeglądarki?
Odcisk palca przeglądarki to zbiór danych, które strona internetowa może uzyskać na żądanie na temat Twojego komputera i przeglądarki podczas otwierania się. Odcisk palca zawiera kilkadziesiąt punktów danych: od używanego języka przez aktualną strefę czasową po zainstalowane rozszerzenia i wersję przeglądarki. Mogą również być to dane na temat systemu operacyjnego, pamięci RAM, rozdzielczości ekranu, ustawień czcionki itd.
Strony internetowe gromadzą wiele różnych informacji, które następnie wykorzystują do generowania niepowtarzalnego identyfikatora dla każdego użytkownika. Odcisk palca przeglądarki nie jest ciasteczkiem, chociaż może być używany podobnie. Różnica polega między innymi na tym, że na używanie ciastek musisz wyrazić zgodę, a zbieranie odcisków przeglądarki może odbywać się bez Twojej wiedzy.
Co więcej, przed uzyskaniem odcisku przeglądarki nie chroni nawet używanie trybu incognito, ponieważ niemal wszystkie przeglądarki i parametry urządzenia pozostają wtedy takie same i mogą zostać użyte do określenia, że osobą korzystającą z internetu jesteś właśnie Ty.
Do czego służy odcisk palca przeglądarki i jak bywa nadużywany
Pierwszym celem odcisku palca przeglądarki jest potwierdzenie tożsamości użytkownika bez angażowania go. Na przykład jeśli bank może powiedzieć na podstawie odcisku Twojej przeglądarki, że to Ty przeprowadzasz daną transakcję, nie musi wysyłać kodu zabezpieczającego na Twój telefon. Ale może wymagać dodatkowego potwierdzenia, gdy ktoś — nawet Ty — będzie logować się na Twoje konto z innym odciskiem palca przeglądarki. W tym przypadku odcisk palca przeglądarki ułatwia użytkownikom życie.
Drugim celem odcisku palca przeglądarki jest wyświetlanie dopasowanych reklam. Jeśli na jakiejś stronie przeczytasz poradnik dotyczący wyboru żelazka, a następnie przejdziesz na inną stronę, która używa tej samej sieci reklamowej, zobaczysz na niej reklamy żelazek. Zasadniczo można powiedzieć, że jest to śledzenie bez Twojej zgody, więc niechęć i podejrzliwość użytkowników w odniesieniu do tej praktyki jest dość zrozumiała.
Należy więc przyjąć, że wiele stron internetowych ma wbudowane komponenty różnych sieci reklamowych i serwisów analitycznych, a w związku z tym gromadzą i analizują nasze odciski palców.
Po czym poznać, że strona gromadzi nasz odcisk palca w przeglądarce
Aby uzyskać informacje potrzebne do utworzenia odcisku palca przeglądarki, strona internetowa wysyła do niej żądania za pomocą osadzonego kodu JavaScript. Wszystkie odpowiedzi przeglądarki tworzą nasz odcisk palca.
Fietkau wraz z kolegami przeanalizowali najpopularniejsze biblioteki zwierające ten kod JavaScript i przygotowali listę 115 różnych technik używanych najczęściej do wykorzystywania przeglądarkowych odcisków. Następnie utworzyli rozszerzenie przeglądarki o nazwie FPMON, które analizuje strony internetowe sprawdzając, czy używają one tych technik. Następnie rozszerzenie to informuje użytkownika, jakie informacje próbuje zgromadzić dana strona w celu utworzenia jego odcisku.
Użytkownicy, którzy zainstalują FPMON, otrzymają powiadomienie, gdy strona internetowa zażąda jakichś informacji od przeglądarki. Co więcej, zespół podzielił te dane na dwie kategorie: wrażliwe i agresywne.
W pierwszej kategorii znajdują się informacje, których strona może żądać, nie wzbudzając większych obaw. Chodzi na przykład o sytuacje, gdy informacja o używanym języku przeglądarki umożliwi wyświetlenie w nim danej strony, a informacje o strefie czasowej umożliwią wyświetlenie poprawnego czasu. Jednak należy pamiętać, że zawsze są to już jakieś informacje na nasz temat.
Informacje z kategorii agresywnej są nieistotne dla witryny i najprawdopodobniej zostaną użyte tylko w do utworzenia Twojego odcisku palca. Wśród nich może znajdować się informacja o ilości pamięci wykorzystywanego urządzenia lub lista wtyczek zainstalowanych w przeglądarce.
Jak agresywnie strony gromadzą przeglądarkowe odciski palców?
Rozszerzenie FPMON może wykrywać żądania dla 40 rodzajów danych. Niemal wszystkie strony internetowe żądają jakichś informacji na temat przeglądarki lub urządzenia. Kiedy należy założyć, że strona próbuje uzyskać nasz odcisk? Co powinno wzbudzić nasze podejrzenia?
Aby zademonstrować, jak działa przeglądarkowy odcisk palca, badacze skorzystali z należącego do EFF projektu Panopticlick (znanego również pod nazwą Cover Your Tracks), który utworzyli członkowie grupy działający na rzecz prywatności. Projekt ten wymaga 23 parametrów, dzięki którym może zidentyfikować użytkownika z ponad 90% pewnością. Fietkau i jego zespół ustawili wspomniane 23 parametry jako wartość minimalną; można założyć, że powyżej tego poziomu strona śledzi użytkowników.
Badacze otworzyli ponad 10 000 stron znajdujących się w rankingu Alexa. Doszli do wniosku, że niemal 57% z nich żąda od 7 do 15 parametrów; średnia dla całej próbki wyniosła 11 parametrów. Około 5% tych stron nie gromadziło ani jednego parametru, a maksymalna liczba zgromadzonych wyniosła 38 na 40 możliwych. Jednak aż tylu zażądały tylko 3 na 1 000 stron.
Do zgromadzenia danych strony te użyły w swoich próbkach ponad stu skryptów i chociaż bardzo niewiele z nich zgromadziło informacje należące do kategorii agresywnych, są one używane na pewnych bardzo popularnych stronach.
Jak unikać gromadzenia odcisków
Aby skrypty na stronach internetowych nie pobierały naszych przeglądarkowych odcisków palców, można zastosować jedno z dwóch podejść: zablokować je lub dać im niekompletne lub niepoprawne informacje. Metod tych używa oprogramowanie chroniące prywatność, a jeśli chodzi o przeglądarkę, Safari niedawno zaczęła udostępniać tylko podstawowe, nieosobiste informacje, dzięki czemu chroni swoich użytkowników przed śledzeniem poprzez odcisk palca.
Część organizacji przygotowała rozszerzenia dla przeglądarek; na przykład EFF utworzyła Privacy Badger, czyli wtyczkę zapewniającą prywatność. Blokuje ona skrypty, chociaż nie wszystkie — pomija te, które żądają danych potrzebnych do poprawnego wyświetlania strony lub działania jej pewnych funkcji (ale to również może przyczynić się do utworzenia odcisku palca).
Tego samego podejścia używamy w naszym rozszerzeniu przeglądarki Kaspersky Protection, które uniemożliwia przeglądarkom gromadzenie zbyt wielu informacji użytkowników, dzięki czemu nie mogą one tworzyć odcisku. Kaspersky Protection jest częścią naszych najważniejszych rozwiązań ochronnych dla użytkowników domowych. Nie zapomnij go włączyć.