FP-Scanner: 浏览器指纹不一致性的隐私启示

作者:{RealWorlds}@ArkTeam

原文作者:Antoine VastelPierre LaperdrixWalter RudametkinRomain Rouvoy

原文标题:FP-Scanner: The Privacy Implications of Browser Fingerprint Inconsistencies

原文会议:27th USENIX Security Symposium, 2018

近些年,浏览器指纹技术被引入到用户追踪领域中。各种浏览器和JS提供的接口能使网络服务提供者获取到关于用户设备的各种信息,包括操作系统版本、浏览器版本、屏幕分辨率、浏览器插件、系统字体、时区等。因每个用户都会在设备的使用过程中或多或少地修改或增删部分默认设置,这种使用用户设备信息组成的”指纹”可以做到唯一标识一个用户。[1] 为此,一些研究人员和厂商提出使用一些插件或其他办法来修改用户返回给网络服务提供者的设备信息以隐藏身份逃避追踪的方法,比如修改User Agent等,但又有研究人员发现,这种简单的修改并不能阻止浏览器指纹对用户的追踪,反而会因一些信息的不匹配造成的指纹不一致性带来更有效的追踪。[2]

在本文中,作者在[2]的基础上进行了实验,以操作系统信息、浏览器信息、设备信息和Canvas信息的不一致性,详细地解释并验证了[2]的说法。以操作系统信息不一致性为例。这是一个浏览器的User AgentUA):Mozilla/5.0 (X11; Linux x86 64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome /57.0.2987.110 Safari/537.36。可以看出,此浏览器版本为Chrome 57.0.2987.110,浏览器引擎是AppleWebKit 537.36,操作系统是LinuxUA是位于HTTP头的可以使用插件进行更改的信息,而服务提供者获取操作系统信息的途径不止这一种。例如,navigator.platform可以返回系统类型,如Linux x86_64Win32MacIntel等;WebGLrenderervendor也能返回系统相关的信息,可以识别出操作系统(如图1);浏览器插件返回的文件名中的文件拓展名也会因操作系统的不同而不同(.dll.so.plugin.bundle等)。这种信息的不一致性会带来更加明显的特征,而且使用修改UA这类信息的插件也会使标识追踪用户变得更加有效。


1 navigator.platformWebGL renderer/vendor返回的信息可用于识别操作系统

隐私问题一直是关注和争议的热点。世界上没有完全相同的两片叶子,看似很不起眼的信息也能成为追踪用户的利器,并随着时间和技术的推移而不断升级。看起来,要实现”世界和平”,还是要先提升技术。

 

参考文献

[1] ECKERSLEY, P. How unique is your web browser? In International Symposium on Privacy Enhancing Technologies Symposium (2010), Springer, pp. 1–18.

[2] NIKIFORAKIS, N., KAPRAVELOS, A., JOOSEN, W., KRUEGEL, C., PIESSENS, F., AND VIGNA, G. Cookieless monster: Exploring the ecosystem of web-based device fingerprinting. Proceedings – IEEE Symposium on Security and Privacy (2013), 541–555.

发表评论

邮箱地址不会被公开。 必填项已用*标注