Исследователи открыли новый метод снятия отпечатков пальцев, который может отслеживать вас по вашему графическому процессору

Отсутствие конфиденциальности: в наши дни конфиденциальность кажется редкостью, но при достаточной осторожности и усилиях можно в основном скрыть свой цифровой след от гигантских технологических компаний и правительств мира. По крайней мере, так было до сих пор. Исследователи из Франции, Израиля и Австралии объединились, чтобы доказать, что даже самых строгих мер защиты конфиденциальности может быть недостаточно, чтобы закрыть все лазейки в отслеживании. Как оказалось, ваше собственное компьютерное оборудование может в конечном итоге работать против вас.

Исследователи, о которых идет речь, разработали метод идентификации устройства, который они назвали «DrawnApart ». Эта стратегия использует традиционную технологию снятия отпечатков пальцев в браузере, которая, как правило, устаревает, чем дольше используется отпечаток пальца, и поднимает ситуацию на новый уровень, идентифицируя устройство пользователя на основе на «уникальных свойствах» своего стека GPU.

Обычно отпечатки пальцев браузера имеют тенденцию со временем путаться, когда пользователи с одинаковыми устройствами с аналогичным оборудованием заходят на данный веб-сайт. Снятие отпечатков пальцев графического процессора направлено на поиск «небольших различий», вызванных производственным процессом каждой видеокарты; различия, которые не могут быть легко замаскированы или запутаны.

Итак, как DrawnApart работает на более техническом уровне? По словам исследователей, сначала он генерирует «последовательность задач рендеринга», каждая из которых предназначена для разных «исполнительных модулей» на пользовательском графическом процессоре. Результаты этих задач — след отпечатка пальца — затем передаются в сеть машинного обучения, которая преобразует указанный след в «встраивающий вектор». Этот вектор описывает отпечаток пальца и может указать злоумышленнику (лицу или организации, использующему этот метод) на конкретное устройство, которое его сгенерировало.

Рабочие нагрузки DrawnApart генерируются с помощью WebGL, графической библиотеки, отвечающей за рендеринг на бесчисленных веб-сайтах. Рассматриваемые рабочие нагрузки предназначены для выявления самых незначительных различий в энергопотреблении и вычислительной мощности между графическими процессорами. Даже если их производитель и модель идентичны, каждая карта будет обрабатывать рендеринг точек WebGL (объекты с одной вершиной) и обрабатывать функции остановки немного по-разному. Вы можете увидеть пример этих небольших различий на изображении трассировки ниже, которое сравнивает, казалось бы, идентичные графические процессоры.

Исследователи использовали DrawnApart для сбора 50 трассировок с обоих устройств, каждая из которых состояла из «176 измерений по 16 точкам». Эти измерения затем организуются в 16 групп по 11, и каждая группа «останавливается» в другой точке. Время, которое требуется графическому процессору для рендеринга каждой точки, отображается с использованием цветового градиента в диапазоне от чисто белого до темно-синего, причем первый представляет более быстрый рендеринг (почти 0 мс), а второй — более медленный (до 90 мс). Красные полосы, которые вы видите на изображении выше, используются только для разделения групп, поэтому они остаются одинаковыми для обеих трасс.

Как видите, между этими двумя трассировками есть явные различия. Исследователи отмечают, что некоторые из этих вариаций вполне ожидаемы, поскольку даже одно и то же устройство не всегда будет работать одинаково. Тем не менее, несмотря на это, команда считает, что эти следы показывают шаблоны, которые достаточно различны, чтобы позволить им различать две одинаковые карты. Естественно, такой уровень детализации позволяет проводить высокоточное снятие отпечатков пальцев, позволяющее отслеживать пользователей в течение гораздо большего периода времени, чем традиционные методы. В сочетании с «современным» алгоритмом отслеживания, как сообщает Bleeping Computer, Drawn Apart увеличивает продолжительность времени, в течение которого можно отслеживать цель, до 67 процентов (28 дней по сравнению с обычным средним значением 17,5 дней).

Итак… Зачем вообще проводить это исследование? Если эти исследователи так озабочены конфиденциальностью пользователей, как они утверждают, то зачем давать рекламодателям и другим злоумышленникам, так сказать, ключи от королевства? Команда надеется, что, выявив эти потенциальные лазейки в конфиденциальности, люди, стоящие за графическими библиотеками, такими как WebGL или будущий API WebGPU, рассмотрят последствия, которые их технология может иметь для конфиденциальности пользователей, и создадут меры безопасности раньше, чем позже.

В любом случае, это исследование интересно и вызывает серьезные опасения по поводу будущего веб-конфиденциальности. Мы с нетерпением ждем возможности увидеть, что из этого выйдет в будущем, к лучшему или к худшему.