Hlavní navigace

Weby tajně používají k sledování uživatelů otisky zařízení

Daniel Dočekal 13. 10. 2013

Tým univerzity v Leuvenu zjistil, že stovky z desítek tisíc největších světových webů tajně sleduje uživatele pomocí otisků jejich zařízení

Cookies (ať už ty webové nebo flashové) a úložiště v HTML 5 zdaleka nejsou jediné možnosti, jak sledovat uživatele napříč Internetem. Podle výzkumníků z KU Leuven řada největších webů své návštěvníky šmíruje pomocí tzv. otisku zařízení (device fingerprint). Sice jde „pouze“ o stovky webů z desítky tisíc těch největších, ale šmírování probíhá, bez vědomí uživatelů a bez možnosti se mu vyhnout.

JE TO LEGÁLNÍ? Podstatná otázka, na kterou není jednoduchá odpověď. Je potřeba si uvědomit, že tady nejde o žádné osobní údaje, zákony neřeší konfiguraci prohlížeče jako osobní údaj. A pokud se k zjištěné identifikaci prohlížeče nepřipojí další osobní údaje (nebo ještě lépe řečeno osobně identifikovatelné údaje), tak o nelegálnosti nemůže nejspíš být řeč. Porušení DO-NOT-TRACK také s legálností nemá nic společného. V některých případech může jít o neetické jednání. Ale jako vždy platí, že účel světí prostředky. 

FPDetective, pomůcka pro zjištění, kdo šmíruje pomocí otisků zařízení

Otisk zařízení (device fingerprint) využívá možností,  které dává HTTP komunikace, Flash, CSS a JavaScript, zjistit co nejvíce informací o zařízení, které bylo použito pro připojení k webovému serveru. Podle studie (můžete si otestovat i vlastní prohlížeč) Electronic Frontier Foundation z roku 2010 je možné touto cestou získat dostatek informací, které dokáží unikátně identifikovat konkrétní prohlížeč, aniž by bylo nutné se spoléhat na cookies.

Každý prohlížeč je totiž podle této metody identifikovatelný pomocí informací o tom, co umí, na jakém zařízení běží (například velikost displeje), jaká rozšíření má nainstalována. Výzkumníkům v KU Leuven se podařilo zjistit, že oblíbený je v tomto ohledu Flash, který je používán i pro zjištění IP adres uživatele, který přistupuje přes proxy servery – používá ho 145 z testovaných webů. Dalších 404 webů (ze vzorku milionu největších webů podle Alexy) používá pro zjištění otisku zařízení JavaScript.

PROČ TO DĚLAJÍ? Cookies jsou, minimálně například v EU, regulovány zákonem a samozřejmě hodně nespolehlivé. V mobilních zařízeních jsou navíc cookies (třetích stran) už prakticky nepoužitelné. Použití otisku zařízení umožňuje obejít nejenom omezení cookies, ale také může konkrétní prohlížeč identifikovat podstatně déle. Samozřejmě za předpokladu, že se nějak výrazně nezmění jeho konfigurace. 

Využití detekce fontů v JavaScriptu

Využití detekce fontů v JavaScriptu

Autoři analýzy slibují, že vyvinutou pomůcku (pojmenovanou FPDetective) uvolní pro veřejnost. Pravděpodobně ale až v listopadu, kdy konkrétní výsledky předloží na berlínské konferenci věnované počítačové bezpečnosti. Prozatím se můžete podívat na základní informace na této adrese homes.esat.kuleuven.be/~ga­car/fpdetective/

Právě FPDetective umožnil zjistit desítky různých skriptů, které se pro získávání otisků používají. Některé z nich jsou komerčně dostupné, další si provozovatelé webů vyvíjejí vlastními silami. Problematické je i zjištění, že populární prohlížeč Tor (chyba by již měla být opravena), stejně tak jako další podobná pomůcka Firegloves, obsahují chyby, které  umožňují využít právě získávání otisků zařízení i ke sledování uživatelů těchto „bezpečných“ pomůcek.

CO TO PŘINÁŠÍ? Přináší to hlavně možnost obejít normy (technické, ale i zákonné) omezující jiné metody. Možnost identifikovat konkrétní prohlížeč (a tím nepřímo i uživatele) je důležitá pro cílení reklamy. Může ale mít také význam tam, kde je potřeba umět odhalit podvody, krádeže identit či účtů, detekci robotů, atd. 

Získání otisku prstů využívá řady možnosti – zejména navigator, plugins, mimeTypes screen objekty JavaScriptu, http hlavičky, canvas v JavaScriptu, historii prohlížeče opět přes JavaScript a řadu dalších možností nabízí využití Flashe, kde je ve velké oblibě zjištění přehledu fontů v počítači.

Využití detekce fontů ve Flashi

Využití detekce fontů ve Flashi

Pro zajímavost, mezi službami používajícími detekci fontů ve Flashi pro získání otisku najdete například i místní Piano Media (Flash zde) či BB Elements. Zajímavá je ale například i přítomnost Anonymizeru (skript zde) či MindShare Tech u služeb používajících detekci fontů v JavaScriptu – napovídá to na oblíbenost i význam této metody značkování  uživatelů.

Zdroj: FPDetective: Dusting the Web for Fingerprinters (PDF)

DODATEK: Oprava, Leuven je skutečně v Belgii, nikoliv v Nizozemí, jak bylo uvedeno v perexu. Díky za upozornění. 

Našli jste v článku chybu?

13. 10. 2013 18:29

Bierkerl (neregistrovaný)

Další důkaz, že lidi pořád neznají rozdíl mezi javou a javascriptem. :D

14. 10. 2013 9:31

_pepak (neregistrovaný)

Bohužel málo. Vypnutý javascript a zakázané cookies mě činí skoro stejně jedinečným, jako kdybych to identifikující cookie rovnou přijal :-(

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky