Key takeaways
- En forsker har oprettet et websted, der genererer et unikt fingeraftryk baseret på installerede browserudvidelser.
- Fingeraftrykket kan bruges til at spore brugerne på tværs af nettet, hævder forskeren.
- Sikkerhedseksperter foreslår, at du fjerner alle unødvendige udvidelser for at undgå at skille sig ud.
Udvidelserne i din webbrowser kunne bruges til at identificere dig unikt på nettet.
For at give folk en chance for at opleve dette har en sikkerhedsforsker oprettet et websted, der analyserer de installerede Google Chrome-udvidelser for at generere et fingeraftryk, som han hævder kan bruges til at spore dem online.
"Hver gang der er noget semi-unikt i en computer, kan det bruges til at udlede et fingeraftryk," fort alte Erich Kron, fortaler for sikkerhedsbevidsthed hos KnowBe4, til Lifewire via e-mail. "Hvor unikt fingeraftrykket er, kan afhænge af, hvad der bliver målt eller testet."
Browser-fingeraftryk
Forskeren, der bruger pseudonymet z0ccc, forklarede, at browserfingeraftryk er en kraftfuld metode, som mange websteder bruger til at indsamle alle slags detaljer om de besøgende, inklusive deres browsertype og version, deres operativsystem, aktive plugins, tid zone, sprog, skærmopløsning og forskellige andre aktive indstillinger.
Han hævdede, at selvom disse datapunkter måske ikke er til stor nytte i sig selv, kan de, når de kombineres, hjælpe entydigt med at identificere en specifik person, da der er en meget lille chance for, at flere personer har det samme sæt datapunkter.
Vores fortrolighedsbestemmelser har meget at komme efter.
"Websteder bruger de oplysninger, som browsere giver til at identificere unikke brugere og spore deres onlineadfærd," forklarede z0ccc. "Denne proces kaldes derfor 'browser fingerprinting'."
Baseret på kombinationen af installerede udvidelser genererer webstedet en sporings-hash, der kan bruges til at spore den pågældende browser på tværs af nettet.
Forskeren forklarede, at hans Extensions Fingerprint-test er afhængig af visse browserudvidelsesegenskaber, som han sagde er til stede i over 1100 udvidelser, inklusive populære som AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, og mere.
Han indrømmede, at nogle udvidelser tager skridt til at forhindre opdagelse. Han fandt dog et trick til at bruge deres adfærd til at afgøre, om nogen af disse beskyttede udvidelser var installeret.
I et interview bekræftede z0ccc, at selvom han ikke indsamler nogen data vedrørende de installerede udvidelser fra folk, der bruger hans hjemmeside, har hans test vist, at det at have 3+ udvidelser vil skabe et unikt fingeraftryk.
I bund og grund vil personer uden installerede udvidelser have det samme fingeraftryk, hvilket gør dem mindre unikke og svære at spore. Omvendt vil dem med mange udvidelser have et mindre almindeligt fingeraftryk, hvilket gør dem mere tilbøjelige til at spore.
Hansker er slukket
I en e-mail-diskussion med Lifewire sagde Harman Singh, direktør hos cybersikkerhedstjenesteudbyderen Cyphere, at browserfingeraftryk er en velkendt teknik, der bruges af onlineannoncerings- og marketingwebsteder verden over.
Dataindsamling er en integreret del af økosystemet for onlineannoncering, forklarede Singh, og denne type browser-fingeraftryk er blot endnu en mekanisme til at hjælpe dem med at vise målrettede annoncer.
Yderligere tilføjede han, at selv finansielle institutioner som banker bruger disse browser-fingeraftryksmetoder som en del af deres mekanismer til registrering af svindel til at opdage, om deres besøgende er en ægte bruger eller en ondsindet anomali som en bot.
Browser-fingeraftryk er ikke ulovligt, da det ikke identificerer en bruger. Indsamlingen af data er dog underlagt love om beskyttelse af personlige oplysninger såsom General Data Protection Regulation (GDPR) og California Consumer Privacy Act (CCPA), tilføjede Singh.
Da taler specifikt om z0cccs Extension Fingerprints-test, forklarede Kron, at selvom den er interessant fra et akademisk perspektiv, virker den begrænset i sin anvendelighed i sin nuværende form.
"Derudover, i min begrænsede test, opfangede dette ikke almindelige udvidelser i Edge-browseren, og returnerede den samme hash til Chrome i inkognitotilstand, som det gjorde Edge med LastPass-udvidelsen installeret," sagde Kron. "Der har været andre fingeraftryksmetoder, der bruger hardware, f.eks. beregninger lavet af det installerede grafikkort, som kunne være lidt sværere at omgås."
For at hjælpe os med at foreslå måder, hvorpå folk kan hjælpe med at omgå sådanne browserfingeraftryk, sagde Singh, at et godt sted at starte er Panopticlick-værktøjet, som giver indsigt i, hvor meget og hvilken slags information din webbrowser afslører for websteder.
På den anden side mener Kron, at det altid er en god praksis at fjerne eller deaktivere ubrugte browserudvidelser.
"For internetbrugere er det ikke muligt at have fuldstændig beskyttelse mod sådanne sporingsteknikker, medmindre det er dikteret af loven," mente Singh. "Vores privatlivsbestemmelser har meget at komme efter."
