Prywatność w sieci jest towarem mocno deficytowym, ale przy wystarczającej staranności i pewnym wysiłku można w dużej mierze ukryć swój cyfrowy ślad przed gigantami technologicznymi i władzami. Przynajmniej tak było do tej pory. Naukowcy z Francji, Izraela i Australii połączyli siły, aby udowodnić, że nawet najbardziej rygorystyczne zabezpieczenia prywatności mogą nie wystarczyć, aby ustrzec się przed śledzeniem. Jak się okazuje, nasz komputer może działać na naszą niekorzyść.
Badacze, o których mowa, opracowali metodę identyfikacji urządzeń, którą nazywają „DrawnApart”. Ta strategia wymaga tradycyjnej technologii tzw. odcisków palców przeglądarki, która staje się coraz bardziej przestarzała, im dłużej takowej używany, identyfikując urządzenie użytkownika na podstawie „unikalnych właściwości” jego GPU. Zwykle odciski palców przeglądarki są z czasem mylone, gdy użytkownicy z podobnymi urządzeniami z podobnym sprzętem wchodzą na daną witrynę. Odciski palców GPU mają na celu znalezienie „niewielkich różnic” wywołanych przez proces produkcyjny każdej karty graficznej; różnice, których nie da się łatwo zamaskować ani ukryć.
Naukowcy udowadniają, że nawet najbardziej rygorystyczne zabezpieczenia prywatności mogą nie wystarczyć, aby ustrzec się przed śledzeniem w sieci.
Jak zatem DrawnApart działa na technicznym poziomie? Według naukowców najpierw generuje „sekwencję zadań renderowania”, z których każde ma na celu inne „jednostki wykonawcze” na GPU użytkownika. Wyniki tych zadań — ślad odcisku palca — są następnie przesyłane do sieci uczenia maszynowego, która przekształca ten ślad w „wektor osadzania”. Ten wektor opisuje odcisk palca i może wskazywać przeciwnikowi (osobie lub podmiotowi korzystającym z tej techniki) konkretne urządzenie, które go wygenerowało.
Obciążenia DrawnApart są generowane przy użyciu WebGL, biblioteki graficznej odpowiedzialnej za renderowanie na niezliczonych stronach internetowych. Omawiane obciążenia mają na celu wyłapanie najmniejszych różnic w zużyciu energii i mocy obliczeniowej na różnych procesorach graficznych. Nawet jeśli ich marka i model są identyczne, każda karta będzie przetwarzać renderowanie punktów WebGL (obiektów z jednym wierzchołkiem) i obsługiwać funkcje przeciągnięcia w nieco inny sposób. Przykład tych małych różnic można zobaczyć na poniższym obrazie śledzenia, który porównuje pozornie identyczne GPU.
Badacze wykorzystali DrawnApart do zebrania 50 śladów z obu urządzeń, przy czym każdy indywidualny ślad składał się z “176 pomiarów 16 punktów”. Pomiary te są następnie zorganizowane w 16 grup po 11, a każda grupa „zatrzymuje” inny punkt. Czas potrzebny GPU na wyrenderowanie każdego punktu jest wyświetlany przy użyciu gradientu kolorów od czystej bieli do głębokiego błękitu, przy czym pierwszy reprezentuje szybsze renderowanie (prawie 0 ms), a drugi wolniejsze (do góry 90 ms). Czerwone paski widoczne na powyższym obrazku służą tylko do oddzielenia grup, dlatego pozostają spójne na obu śladach.
Jak widać, między tymi dwoma śladami są wyraźne różnice. Naukowcy zauważają, że niektórych z tych różnic można się spodziewać, ponieważ nawet to samo urządzenie nie zawsze będzie działać identycznie. Jednak mimo to zespół uważa, że ślady te pokazują wzory, które są wystarczająco wyraźne, aby umożliwić im rozróżnienie dwóch identycznych kart. Naturalnie, ten poziom szczegółowego pomiaru pozwala na bardzo dokładne odciski palców, które mogą śledzić użytkowników przez znacznie dłuższy czas niż tradycyjne metody. W połączeniu z „najnowocześniejszym” algorytmem śledzenia Bleeping Computer, Drawn Apart wydłuża czas śledzenia celu nawet o 67 procent (28 dni w porównaniu ze zwykłą średnią 17,5 dnia).
Po co w ogóle przeprowadzać te badania? Jeśli ci badacze są tak zaniepokojeni prywatnością użytkowników – a twierdzą, że są – po co dawać reklamodawcom i innym “wrogim” podmiotom stosowne narzędzia do śledzenia? Zespół ma nadzieję, że ujawniając te potencjalne luki w prywatności, osoby stojące za bibliotekami graficznymi, takimi jak WebGL lub nadchodzącym interfejsem API WebGPU, rozważą konsekwencje, jakie ich technologia może mieć dla prywatności użytkowników i prędzej niż później zastosują odpowiednie zabezpieczenia.
Tak czy inaczej, badanie to jest interesujące i stwarza poważne obawy dotyczące przyszłości prywatności w sieci.
Zobacz także:
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS