מזונות חשובים
- חוקר יצר אתר שיוצר טביעת אצבע ייחודית המבוססת על הרחבות דפדפן מותקנות.
- ניתן להשתמש בטביעת האצבע כדי לעקוב אחר המשתמשים ברחבי האינטרנט, טוען החוקר.
- מומחי אבטחה מציעים להסיר את כל התוספים המיותרים כדי למנוע בולטות.
ניתן להשתמש בתוספים בדפדפן האינטרנט שלך כדי לזהות אותך באופן ייחודי באינטרנט.
כדי לתת לאנשים הזדמנות לחוות זאת, חוקר אבטחה יצר אתר שמנתח את התוספים המותקנים של Google Chrome כדי ליצור טביעת אצבע, שלטענתו ניתן להשתמש בה כדי לעקוב אחריהם באינטרנט.
"בכל פעם שיש משהו חצי יחודי במחשב, אפשר להשתמש בו כדי להפיק טביעת אצבע", אמר אריך קרון, תומך למודעות אבטחה בחברת KnowBe4, ל-Lifewire באימייל. "עד כמה טביעת האצבע היא ייחודית עשויה להיות תלויה במה שנמדד או נבדק."
טביעת אצבע של דפדפן
החוקר, שמשתמש בשם הבדוי z0ccc, הסביר כי טביעת אצבע בדפדפן היא שיטה רבת עוצמה שאתרים רבים משתמשים בהם כדי לאסוף כל מיני פרטים על המבקרים, כולל סוג הדפדפן והגרסה שלהם, מערכת ההפעלה שלהם, תוספים פעילים, זמן אזור, שפה, רזולוציית מסך והגדרות פעילות שונות אחרות.
הוא טען שאמנם נקודות הנתונים הללו אינן מועילות במיוחד בפני עצמן, אך בשילובן, הן יכולות לסייע בזיהוי ייחודי של אדם ספציפי אחד, מכיוון שיש סיכוי קטן מאוד שלמספר אנשים יש את אותה סט של נקודות נתונים.
לתקנות הפרטיות שלנו יש הרבה מה להדביק.
"אתרים משתמשים במידע שדפדפנים מספקים כדי לזהות משתמשים ייחודיים ולעקוב אחר התנהגותם המקוונת", הסביר z0ccc. "תהליך זה נקרא אפוא 'טביעת אצבע בדפדפן'."
בהתבסס על השילוב של תוספים מותקנים, האתר מייצר hash למעקב שניתן להשתמש בו כדי לעקוב אחר הדפדפן המסוים הזה ברחבי האינטרנט.
החוקר הסביר שמבחן Extensions Fingerprint שלו מסתמך על מאפייני תוספי דפדפן מסוימים, שלדבריו קיימים בלמעלה מ-1100 הרחבות, כולל הרחבות פופולריות כגון AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, ועוד.
הוא הודה שחלק מהרחבות נוקטות בצעדים כדי למנוע זיהוי. עם זאת, הוא מצא טריק להשתמש בהתנהגות שלהם כדי לקבוע אם כל אחד מהתוספים המוגנים האלה הותקן.
בראיון, z0ccc אישר שלמרות שהוא לא אוסף כל מידע לגבי התוספים המותקנים מאנשים שמשתמשים באתר שלו, הבדיקות שלו הראו שיש ליותר מ-3 הרחבות תיצור טביעת אצבע ייחודית.
בעצם, לאנשים ללא הרחבות מותקנות תהיה אותה טביעת אצבע, מה שהופך אותם לפחות ייחודיים וקשים למעקב. לעומת זאת, לאלה עם הרחבות רבות תהיה טביעת אצבע פחות נפוצה, מה שהופך אותם נוטים יותר למעקב.
כפפות כבויות
בדיון בדוא ל עם Lifewire, הרמן סינג, מנהל ספקית שירותי אבטחת הסייבר Cyphere, אמר כי טביעת אצבע בדפדפן היא טכניקה ידועה המשמשת אתרי פרסום ושיווק מקוונים ברחבי העולם.
איסוף נתונים הוא חלק בלתי נפרד מאקו-סיסטם הפרסום המקוון, הסביר סינג, וסוג זה של טביעת אצבע בדפדפן הוא רק עוד מנגנון שיעזור להם להציג פרסומות ממוקדות.
יתרה מכך, הוא הוסיף שאפילו מוסדות פיננסיים כמו בנקים משתמשים בשיטות אלה של טביעת אצבע בדפדפן כחלק ממנגנוני זיהוי ההונאה שלהם כדי לזהות אם המבקר שלהם הוא משתמש אמיתי או חריגה זדונית כמו בוט.
טביעת אצבע של דפדפן אינה בלתי חוקית מכיוון שהיא אינה מזהה משתמש. עם זאת, איסוף הנתונים כפוף לחוקי פרטיות כגון תקנת הגנת המידע הכללית (GDPR) וחוק הפרטיות של קליפורניה לצרכן (CCPA), הוסיף Singh.
דיבר ספציפית על מבחן Extension Fingerprints של z0ccc, קרון הסביר שאמנם הוא מעניין מנקודת מבט אקדמית, אך נראה שהוא מוגבל בשימושיות שלו בצורתו הנוכחית.
"בנוסף, בבדיקה המוגבלת שלי, זה לא קלט הרחבות נפוצות בדפדפן Edge, והחזיר את אותו hash עבור Chrome במצב גלישה בסתר, כפי שעשה [ב] Edge כשהתוסף LastPass מותקן, " אמר קרון. "היו שיטות אחרות של טביעת אצבע המשתמשות בחומרה, חישובים שנעשו על ידי הכרטיס הגרפי המותקן, למשל, שיכולים להיות קצת יותר קשים לעקוף."
כדי לעזור לנו להציע דרכים לאנשים לעזור לעקוף טביעת אצבע כזו בדפדפן, סינג אמר שמקום טוב להתחיל בו הוא הכלי Panopticlick, שנותן תובנות לגבי כמה ואיזה סוג מידע דפדפן האינטרנט שלך חושף לאתרים.
מצד שני, קרון מאמין שזה תמיד מנהג טוב להסיר או להשבית הרחבות דפדפן שאינן בשימוש.
"עבור משתמשי אינטרנט, לא ניתן לקבל הגנה מלאה מפני טכניקות מעקב כאלה אלא אם כן הכתיב חוק", אמר סינג. "לתקנות הפרטיות שלנו יש הרבה מה להדביק."
