作者:{RealWorlds}@ArkTeam
原文作者:Alejandro Gómez-Boix、Pierre Laperdrix、Benoit Baudry
原文标题:Hiding in the Crowd: an Analysis of the Effectiveness of Browser Fingerprinting at Large Scale
原文会议:Proceedings of the 2018 World Wide Web Conference (WWW2018)
下载链接:https://dl.acm.org/citation.cfm?doid=3178876.3186097
自从2010年Eckersley[1]关于浏览器指纹的研究发布以来,关于浏览器指纹能否真正用来追踪的讨论从未间断。近些年,一些专注于浏览器指纹的研究人员搭建了专用于收集浏览器指纹的网站,如Panopticlick[3]、AmIUnique[4]等,并将这些数据用来分析,得到了浏览器指纹能追踪80%以上的互联网用户的结论[2]。可是浏览器指纹真的有这么强大吗?近期,来自法国的研究团队对这一结论提出质疑。
该团队认为,以往浏览器指纹相关的工作中忽视了一个重要的问题,即用户群体的片面性。以往工作中的数据获取大多是通过搭建一个网站,告诉人们这个网站是用来收集指纹信息的,供感兴趣的人访问,从而收集指纹。这样获取到的指纹信息是对互联网隐私比较感兴趣或重视的人留下的,会对实验结果造成影响。比如,来自AmIUnique网站2017年7月的指纹中,有57%来自Windows、15%来自Linux、13%来自Mac、5%来自安卓、4%来自iOS,而同期的操作系统市场占有率为安卓40%、Windows 36%、iOS 13%、Mac 5%、Linux少于1%(如图1)。可以发现,这些工作种获取的指纹信息并不具有代表性。
图1 该团队获取的数据、AmIUnique的数据和市场占有率比较(区分移动端和PC端)
该团队在法国排名Alexa Top 15的某网站的两个页面中进行了指纹收集,并用cookie来记录两条指纹是否属于同一浏览器,最后收集得到2,067,942条指纹。该团队的分析结果显示,只有33.6%的指纹具有唯一性,远比先前研究中得到的80%以上要低。该团队还发现,指纹数据的收集区域等也会影响数据结果。比如2017年欧洲移动市场中,苹果和三星各占比约30%;而在北美市场,苹果占据50%,三星占据24%。这些差异会影响指纹属性值的分布,比如Platform、WebGL Vendor或User-agent等会更偏向苹果设备。此外,Web技术的发展也会影响指纹分析的效果。该团队做了几个假设,即浏览器插件的终结、使用统一的标准HTTP头等,并根据假设修改数据进行实验。实验结果表示,不支持插件会使PC端指纹的唯一性由35.7%降到16.5%,使用统一的HTTP头会使PC端指纹的唯一性降至31%,即Web技术的发展也会对指纹的追踪带来影响。
成也指纹,败也指纹。在万物指纹的时代,蛛丝马迹皆为利器。指纹的有效性与否并不能由先前工作确认,也不能由本文工作否认。若想检验真理,唯有科学实践。
参考文献
[1] ECKERSLEY, P. How unique is your web browser? In International Symposium on Privacy Enhancing Technologies Symposium (2010), Springer, pp. 1–18.
[2] Pierre Laperdrix, Walter Rudametkin, and Benoit Baudry. Beauty and the Beast: Diverting modern web browsers to build unique browser fingerprints. In 37th IEEE Symposium on Security and Privacy (S&P 2016). San Jose, United States. 2016.
[3] Panopticlick. https://panopticlick.eff.org/
[4] AmIUnique. https://amiunique.org/