Weby tajně používají k sledování uživatelů otisky zařízení

Tým univerzity v Leuvenu zjistil, že stovky z desítek tisíc největších světových webů tajně sleduje uživatele pomocí otisků jejich zařízení

Cookies (ať už ty webové nebo flashové) a úložiště v HTML 5 zdaleka nejsou jediné možnosti, jak sledovat uživatele napříč Internetem. Podle výzkumníků z KU Leuven řada největších webů své návštěvníky šmíruje pomocí tzv. otisku zařízení (device fingerprint). Sice jde „pouze“ o stovky webů z desítky tisíc těch největších, ale šmírování probíhá, bez vědomí uživatelů a bez možnosti se mu vyhnout.

JE TO LEGÁLNÍ? Podstatná otázka, na kterou není jednoduchá odpověď. Je potřeba si uvědomit, že tady nejde o žádné osobní údaje, zákony neřeší konfiguraci prohlížeče jako osobní údaj. A pokud se k zjištěné identifikaci prohlížeče nepřipojí další osobní údaje (nebo ještě lépe řečeno osobně identifikovatelné údaje), tak o nelegálnosti nemůže nejspíš být řeč. Porušení DO-NOT-TRACK také s legálností nemá nic společného. V některých případech může jít o neetické jednání. Ale jako vždy platí, že účel světí prostředky. 

FPDetective, pomůcka pro zjištění, kdo šmíruje pomocí otisků zařízení

Otisk zařízení (device fingerprint) využívá možností,  které dává HTTP komunikace, Flash, CSS a JavaScript, zjistit co nejvíce informací o zařízení, které bylo použito pro připojení k webovému serveru. Podle studie (můžete si otestovat i vlastní prohlížeč) Electronic Frontier Foundation z roku 2010 je možné touto cestou získat dostatek informací, které dokáží unikátně identifikovat konkrétní prohlížeč, aniž by bylo nutné se spoléhat na cookies.

Každý prohlížeč je totiž podle této metody identifikovatelný pomocí informací o tom, co umí, na jakém zařízení běží (například velikost displeje), jaká rozšíření má nainstalována. Výzkumníkům v KU Leuven se podařilo zjistit, že oblíbený je v tomto ohledu Flash, který je používán i pro zjištění IP adres uživatele, který přistupuje přes proxy servery – používá ho 145 z testovaných webů. Dalších 404 webů (ze vzorku milionu největších webů podle Alexy) používá pro zjištění otisku zařízení JavaScript.

PROČ TO DĚLAJÍ? Cookies jsou, minimálně například v EU, regulovány zákonem a samozřejmě hodně nespolehlivé. V mobilních zařízeních jsou navíc cookies (třetích stran) už prakticky nepoužitelné. Použití otisku zařízení umožňuje obejít nejenom omezení cookies, ale také může konkrétní prohlížeč identifikovat podstatně déle. Samozřejmě za předpokladu, že se nějak výrazně nezmění jeho konfigurace. 

Využití detekce fontů v JavaScriptu

Využití detekce fontů v JavaScriptu

Autoři analýzy slibují, že vyvinutou pomůcku (pojmenovanou FPDetective) uvolní pro veřejnost. Pravděpodobně ale až v listopadu, kdy konkrétní výsledky předloží na berlínské konferenci věnované počítačové bezpečnosti. Prozatím se můžete podívat na základní informace na této adrese homes.esat.kuleuven.be/~ga­car/fpdetective/

Právě FPDetective umožnil zjistit desítky různých skriptů, které se pro získávání otisků používají. Některé z nich jsou komerčně dostupné, další si provozovatelé webů vyvíjejí vlastními silami. Problematické je i zjištění, že populární prohlížeč Tor (chyba by již měla být opravena), stejně tak jako další podobná pomůcka Firegloves, obsahují chyby, které  umožňují využít právě získávání otisků zařízení i ke sledování uživatelů těchto „bezpečných“ pomůcek.

CO TO PŘINÁŠÍ? Přináší to hlavně možnost obejít normy (technické, ale i zákonné) omezující jiné metody. Možnost identifikovat konkrétní prohlížeč (a tím nepřímo i uživatele) je důležitá pro cílení reklamy. Může ale mít také význam tam, kde je potřeba umět odhalit podvody, krádeže identit či účtů, detekci robotů, atd. 

Získání otisku prstů využívá řady možnosti – zejména navigator, plugins, mimeTypes screen objekty JavaScriptu, http hlavičky, canvas v JavaScriptu, historii prohlížeče opět přes JavaScript a řadu dalších možností nabízí využití Flashe, kde je ve velké oblibě zjištění přehledu fontů v počítači.

Využití detekce fontů ve Flashi

Využití detekce fontů ve Flashi

Pro zajímavost, mezi službami používajícími detekci fontů ve Flashi pro získání otisku najdete například i místní Piano Media (Flash zde) či BB Elements. Zajímavá je ale například i přítomnost Anonymizeru (skript zde) či MindShare Tech u služeb používajících detekci fontů v JavaScriptu – napovídá to na oblíbenost i význam této metody značkování  uživatelů.

KL_NOMINACE

Zdroj: FPDetective: Dusting the Web for Fingerprinters (PDF)

DODATEK: Oprava, Leuven je skutečně v Belgii, nikoliv v Nizozemí, jak bylo uvedeno v perexu. Díky za upozornění. 

30 názorů Vstoupit do diskuse
poslední názor přidán 15. 10. 2013 20:16

Školení: Online Public Relations aneb PR sociálního věku

  •  
    Jak se liší digitální PR oproti klasickému PR.
  • Jak tvořit tiskové zprávy.
  • Jak monitorovat a vyhodnocovat PR.

Detailní informace o školení »