Дослідники виявили новий метод відбитків пальців, який може відстежувати вас за допомогою графічного процесора
Відсутність конфіденційності: сьогодні конфіденційність виглядає як рідкість, але, дотримуючись достатньої уваги та зусиль, можна в основному приховати свій цифровий слід як від гігантських технологічних компаній, так і від світових урядів. Принаймні, так було поки що. Дослідники з Франції, Ізраїлю та Австралії об'єдналися, щоб довести, що навіть найсуворіших гарантій конфіденційності може бути недостатньо, щоб закрити всі лазівки у відстеженні. Як виявилося, ваше власне комп’ютерне обладнання може в кінцевому підсумку працювати проти вас.
Дослідники, про які йде мова, розробили метод ідентифікації пристрою, який вони називають «DrawnApart ». Ця стратегія використовує традиційну технологію відбитків пальців браузера, яка, як правило, застаріває, чим довше використовується відбиток пальця, і покращує ситуацію, ідентифікуючи пристрій користувача на основі про «унікальні властивості» його стеку графічного процесора.
Зазвичай відбитки браузера з часом плутаються, коли користувачі з подібними пристроями з подібним обладнанням заходять на певний веб-сайт. Відбитки пальців GPU намагаються знайти «невеликі відмінності», викликані виробничим процесом кожної відеокарти; відмінності, які неможливо легко замаскувати чи приховати.
Отже, як DrawnApart працює на трохи більш технічному рівні? За словами дослідників, він спочатку генерує «послідовність завдань візуалізації», кожна з яких має на меті різні «виконавчі одиниці» на графічному процесорі користувача. Результати цих завдань — слідування відбитків пальців — потім надходять у мережу машинного навчання, яка перетворює зазначений слід у «вектор вбудовування». Цей вектор описує відбиток пальця і може спрямовувати супротивника (особу або юридичну особу, що використовує цю техніку) на конкретний пристрій, який його створив.
Робочі навантаження DrawnApart генеруються за допомогою WebGL, графічної бібліотеки, відповідальної за візуалізацію на незліченних веб-сайтах. Розглянуті робочі навантаження призначені для виявлення найменших відмінностей у споживанні енергії та потужності обробки між графічними процесорами. Навіть якщо їх марка і модель ідентичні, кожна карта оброблятиме візуалізацію точок WebGL (одновершинних об’єктів) і оброблятиме функції зупинки дещо по-різному. Ви можете побачити приклад цих невеликих відмінностей на зображенні трасування нижче, яке порівнюється з, здавалося б, ідентичними графічними процесорами.
Дослідники використали DrawnApart, щоб зібрати 50 слідів з обох пристроїв, причому кожен окремий слід складався з «176 вимірювань 16 точок». Потім ці вимірювання об’єднуються в 16 груп по 11, і кожна група «зупиняє» іншу точку. Час, необхідний GPU для візуалізації кожної точки, відображається за допомогою градієнта кольору від чисто білого до насиченого синього, причому перший представляє швидшу візуалізацію (майже 0 мс), а другий — повільніше (до 90 мс). Червоні смуги, які ви бачите на зображенні вище, використовуються лише для розділення груп, тому вони залишаються послідовними в обох трасах.
Як бачите, між цими двома слідами є чіткі відмінності. Дослідники відзначають, що деякі з цих варіацій слід очікувати, оскільки навіть один і той же пристрій не завжди буде працювати однаково. Однак, незважаючи на це, команда вважає, що ці сліди показують досить чіткі закономірності, щоб дозволити їм розрізняти дві ідентичні картки. Природно, такий рівень детального вимірювання дозволяє проводити високоточні відбитки пальців, які можуть відстежувати користувачів протягом набагато більшого періоду часу, ніж традиційні методи. У поєднанні з «найсучаснішим» алгоритмом відстеження, повідомляє Bleeping Computer, Drawn Apart збільшує час, протягом якого ціль можна відстежувати на 67 відсотків (28 днів проти звичайних середніх 17,5 днів).
Тож… Навіщо взагалі проводити це дослідження? Якщо ці дослідники так турбуються про конфіденційність користувачів — як вони себе заявляють, — навіщо, так би мовити, давати рекламодавцям та іншим поганим акторам ключі від королівства? Команда сподівається, що, виявляючи ці потенційні лазівки в конфіденційності, люди, які стоять за графічними бібліотеками, такими як WebGL або майбутній API WebGPU, розглянуть наслідки, які їхня технологія може мати на конфіденційність користувачів, і вбудуватимуть засоби захисту рано чи пізно.
У будь-якому випадку, це дослідження є цікавим і викликає серйозні занепокоєння щодо майбутнього веб-конфіденційності. Ми з нетерпінням чекаємо того, що з цього вийде в майбутньому, на краще чи на гірше.