Suicide
27.08.2020, 22:59
Группа исследователей из Mozilla, Айовского университета и Калифорнийского университета опубликовала (https://umariqbal.com/papers/fpinspector-sp2021.pdf) итоги изучения применения на сайтах кода для скрытой идентификации пользователей. Под скрытой идентификации понимается генерация идентификаторов на основе косвенных данных о работе браузера, таких как разрешение экрана (https://www.opennet.ru/opennews/art.shtml?num=46046), список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 (https://www.opennet.ru/opennews/art.shtml?num=47821) и HTTPS (https://www.opennet.ru/opennews/art.shtml?num=42943)), анализ установленных плагинов и шрифтов (https://www.opennet.ru/opennews/art.shtml?num=26635), доступность определённых Web API, специфичные для видеокарт особенности (https://www.opennet.ru/opennews/art.shtml?num=48736) отрисовки при помощи WebGL и Canvas (https://www.opennet.ru/opennews/art.shtml?num=50176), манипуляции (https://www.opennet.ru/opennews/art.shtml?num=47902) с CSS, учёт значений по умолчанию (https://www.opennet.ru/opennews/art.shtml?num=50872), сканирование (https://www.opennet.ru/opennews/art.shtml?num=53113) сетевых портов, анализ особенностей работы с мышью (https://www.opennet.ru/opennews/art.shtml?num=44027) и клавиатурой (https://www.opennet.ru/opennews/art.shtml?num=42685).
Изучение 100 тысяч самых популярных сайтов по рейтингу Alexa показало, что на 9040 из них (10.18%) применяется код для скрытой идентификации посетителей. При этом, если рассматривать тысячу самых популярных сайтов, то подобный код был выявлен в 30.60% случаев (266 сайтов), а среди сайтов, занимающих в рейтинге места с тысячного по десятитысячное, в 24.45% случаев (2010 сайтов). В основном скрытая идентификация применяется в скриптах, предоставляемых внешними сервисами для борьбы с мошенничеством (https://www.opennet.ru/opennews/art.shtml?num=53113) и отсеиванием ботов, а также рекламными сетями и системами отслеживания перемещения пользователей.
https://www.opennet.ru/opennews/pics_base/0_1598507269.png (https://pbs.twimg.com/media/EfpVioSWAAAw0bG?format=png&name=900x900)
Для выявления кода, осуществляющего скрытую идентификацию, был разработан инструментарий FP-Inspector (https://uiowa-irl.github.io/FP-Inspector/), код которого предложен (https://github.com/uiowa-irl/FP-Inspector) под лицензией MIT. В инструментарии используются методы машинного обучения в сочетании со статическим и динамическим анализом кода JavaScript. Утверждается, что применение машинного обучения позволило заметно повысить точность выявления кода для скрытой идентификации и выявить на 26% больше проблемных скриптов по сравнению с заданной вручную эвристикой.
Многие из выявленных скриптов идентификации отсутствовали в типовых списках блокировки Disconnect (https://disconnect.me/), Adsafe (https://adsafeprotected.com/), DuckDuckGo, Justuno (http://justuno.com/) и EasyPrivacy (https://easylist.to/). После отправки уведомления (https://github.com/easylist/easylist/issues/created_by/UmarIqbal) разработчиками списка блокировки EasyPrivacy был создан (https://easylist.to/easylist/easyprivacy.txt) отдельный раздел для скриптов скрытой идентификации. Кроме того, FP-Inspector позволил выявить некоторые новые способы использования Web API для идентификации, которые ранее не встречались на практике.
Например, было выявлено использование для идентификации информации о раскладке клавиатуры (getLayoutMap), остаточных данных в кэше (при помощи API Performance анализируются задержки при отдаче данных, что позволяет определить обращался ли пользователь к определённому домену или нет, а также открывалась ли ранее страница), выставленных в браузере полномочий (информация о доступе к Notification, Geolocation и Camera API), наличии специализированных периферийных устройств и редких датчиков (геймпады, шлемы виртуальной реальности, сенсоры приближения). Кроме того, зафиксирован учёт при идентификации наличия специализированных для определённых браузеров API и различий поведения API (AudioWorklet, setTimeout, mozRTCSessionDescription), а также использование API AudioContext для определения особенностей звуковой системы.
В ходе исследования также был изучен вопрос нарушения штатной функциональности сайтов в случае применения методов защиты от скрытой идентификации, приводящих к блокированию сетевых запросов или ограничению доступа к API. Было показано, что выборочное ограничение API только для скриптов, выявленных FP-Inspector, приводит к меньшим нарушениям в работе, чем при использовании в Brave и Tor Browser более жёстких общих ограничений вызовов API, потенциально приводящих к утечке данных.
27.08.2020
https://www.opennet.ru/opennews/art.shtml?num=53607
Изучение 100 тысяч самых популярных сайтов по рейтингу Alexa показало, что на 9040 из них (10.18%) применяется код для скрытой идентификации посетителей. При этом, если рассматривать тысячу самых популярных сайтов, то подобный код был выявлен в 30.60% случаев (266 сайтов), а среди сайтов, занимающих в рейтинге места с тысячного по десятитысячное, в 24.45% случаев (2010 сайтов). В основном скрытая идентификация применяется в скриптах, предоставляемых внешними сервисами для борьбы с мошенничеством (https://www.opennet.ru/opennews/art.shtml?num=53113) и отсеиванием ботов, а также рекламными сетями и системами отслеживания перемещения пользователей.
https://www.opennet.ru/opennews/pics_base/0_1598507269.png (https://pbs.twimg.com/media/EfpVioSWAAAw0bG?format=png&name=900x900)
Для выявления кода, осуществляющего скрытую идентификацию, был разработан инструментарий FP-Inspector (https://uiowa-irl.github.io/FP-Inspector/), код которого предложен (https://github.com/uiowa-irl/FP-Inspector) под лицензией MIT. В инструментарии используются методы машинного обучения в сочетании со статическим и динамическим анализом кода JavaScript. Утверждается, что применение машинного обучения позволило заметно повысить точность выявления кода для скрытой идентификации и выявить на 26% больше проблемных скриптов по сравнению с заданной вручную эвристикой.
Многие из выявленных скриптов идентификации отсутствовали в типовых списках блокировки Disconnect (https://disconnect.me/), Adsafe (https://adsafeprotected.com/), DuckDuckGo, Justuno (http://justuno.com/) и EasyPrivacy (https://easylist.to/). После отправки уведомления (https://github.com/easylist/easylist/issues/created_by/UmarIqbal) разработчиками списка блокировки EasyPrivacy был создан (https://easylist.to/easylist/easyprivacy.txt) отдельный раздел для скриптов скрытой идентификации. Кроме того, FP-Inspector позволил выявить некоторые новые способы использования Web API для идентификации, которые ранее не встречались на практике.
Например, было выявлено использование для идентификации информации о раскладке клавиатуры (getLayoutMap), остаточных данных в кэше (при помощи API Performance анализируются задержки при отдаче данных, что позволяет определить обращался ли пользователь к определённому домену или нет, а также открывалась ли ранее страница), выставленных в браузере полномочий (информация о доступе к Notification, Geolocation и Camera API), наличии специализированных периферийных устройств и редких датчиков (геймпады, шлемы виртуальной реальности, сенсоры приближения). Кроме того, зафиксирован учёт при идентификации наличия специализированных для определённых браузеров API и различий поведения API (AudioWorklet, setTimeout, mozRTCSessionDescription), а также использование API AudioContext для определения особенностей звуковой системы.
В ходе исследования также был изучен вопрос нарушения штатной функциональности сайтов в случае применения методов защиты от скрытой идентификации, приводящих к блокированию сетевых запросов или ограничению доступа к API. Было показано, что выборочное ограничение API только для скриптов, выявленных FP-Inspector, приводит к меньшим нарушениям в работе, чем при использовании в Brave и Tor Browser более жёстких общих ограничений вызовов API, потенциально приводящих к утечке данных.
27.08.2020
https://www.opennet.ru/opennews/art.shtml?num=53607