Martin Brinkmann 31. januar 2022 Sikkerhet | 3
Forskere fra universiteter i Israel, Australia og Frankrike har oppdaget en enhetsidentifikasjonsteknikk som er basert utelukkende på GPU-fingeravtrykk.
Fingeravtrykk i dataverdenen refererer til identifikasjon av enheter eller brukere. Den kan brukes individuelt eller i kombinasjon med andre sporingsteknikker.
Fingeravtrykkforsøk kan bruke en eller flere faktorer hentet fra en brukers enhet for å spore brukere online. I det minste noen data avsløres automatisk når brukere kobler til nettsteder ved hjelp av moderne nettlesere, andre kan hentes ved hjelp av skript som kjører på selve nettstedet.
ANNONSE
Å koble til nettsteder kan avsløre informasjon om operativsystemet, skjermstørrelsen eller språket som brukes på enheten. Noen av disse faktorene kan endre seg, f.eks. størrelsen på nettleservinduet, mens andre kanskje ikke.
Noen nettlesere, f.eks. Firefox eller Brave, inkluderer alternativer for anti-fingeravtrykk, men disse adresserer bare vanlige former og ikke alle metoder som kan brukes potensielt for det formålet.
GPU-fingeravtrykksteknikken som forskerne oppdaget, er utelukkende avhengig av grafikkbehandlingsenheten. Teknikken kan brukes til å forlenge sporingstiden for andre fingeravtrykkmetoder med opptil 67 % ifølge forskningsoppgaven.
For å sette dette i perspektiv: den gjennomsnittlige sporingstiden ifølge forskerne er mellom 17 og 18 dager. GPU-fingeravtrykkmetoden som forskerne oppdaget, utvider dette til en periode på mellom 25,5 og 30 dager; en betydelig økning.
ANNONSE
Forskerne kjørte eksperimenter på 2500 unike enheter ved hjelp av teknikken. De utviklet to metoder, som begge bruker Web Graphics Library (WebGL), som støttes av alle moderne nettlesere.
Forskerne beskriver hvordan teknikken, som de kaller DRAWNAPART, fungerer i forskningsoppgaven :
Ved å ta fingeravtrykk av GPU-stakken kan DRAWNAPART skille enheter med nominelt identiske konfigurasjoner, både i laboratoriet og i naturen. I et nøtteskall, for å lage et fingeravtrykk, genererer DRAWNAPART en sekvens med gjengivelsesoppgaver, som hver retter seg mot forskjellige EUer. Det ganger hver gjengivelsesoppgave, og skaper et fingeravtrykkspor. Dette sporet blir transformert av et dypt læringsnettverk til en innebyggingsvektor som beskriver det kortfattet og peker
motstanderen mot den spesifikke enheten som genererte det.ANNONSE
[..] ved å bruke korte GLSL-programmer utført av GPUen som en del av vertex shader (jf. seksjon II-B). Vi er avhengige av den stort sett forutsigbare jobbfordelingen i WebGL-programvarestabelen for å målrette mot spesifikke EUer. Vi observerer at når man tildeler et parallelt sett med vertex shader-oppgaver, har WebGL-stakken en tendens til å tildele oppgavene til forskjellige EU-er på en ikke-randomisert måte. Dette lar oss utstede flere kommandoer som retter seg mot de samme EU-ene.
Til slutt, i stedet for å måle spesifikke oppgaver, sikrer vi at utførelsestiden til det målrettede EU dominerer utførelsestiden for hele rørledningen. Vi gjør det ved å tildele de ikke-målrettede EU-ene et vertex shading-program som er raskt å fullføre, samtidig som vi tildeler de målrettede EU-oppgavene hvis utførelsestid er svært sensitiv for forskjellene mellom individuelle EU-er. A
Både metoder på skjermen og utenfor skjermen er opprettet for å adressere ulike brukstilfeller. Metoden på skjermen er raskere, men krever mer ressurser, metoden utenfor skjermen tar lengre tid å levere resultater, men den er mer ressursvennlig.
Forskerne legger merke til at mottiltak kan blokkere vellykket opprettelse av fingeravtrykk ved bruk av metoden. Tor Browser, med sin “minimumskapasitetsmodus” blokkerer bruken av et API som angrepet er avhengig av som standard. WebGL kan også deaktiveres i andre nettlesere for å forhindre angrepet, men på bekostning av potensielle brukervennlighets- eller tilgjengelighetsproblemer. Skriptblokkering kan være effektivt, men bare hvis skript er blokkert som standard og tillatt manuelt av brukeren.
Sjekk en studie om effektiviteten av tiltak mot fingeravtrykk her.
Du kan sjekke ut hele forskningsartikkelen som er koblet til ovenfor for ytterligere detaljer.
Nå du: bruker du beskyttelse mot fingeravtrykk? (via Bleeping Computer)
ANNONSE