浏览器指纹脚本是一段JavaScript代码,可在网页内运行,并通过测试某些浏览器功能的存在来工作。
如今,在线广告客户通常将浏览器指纹用作下一代用户跟踪机制。广告商运行不同类型的指纹操作,为每个用户创建一个或多个“指纹”,然后在他们访问互联网上的其他站点时使用它们来跟踪用户。
由于在线广告客户当前使用浏览器指纹的方式会侵犯隐私,因此Firefox,Chrome,Opera,Brave和Tor浏览器等多家浏览器制造商已部署了功能来检测和阻止这些类型的恶意代码。
在本月初发表的一篇学术论文中,来自爱荷华州Mozilla大学和加利福尼亚大学戴维斯分校的一组学者分析了网站运营商如今如何使用流行的浏览器指纹识别脚本。
他们使用机器学习工具包自行开发并命名为 FP-Inspector,研究团队根据Alexa网络流量排名扫描并分析了互联网上排名前100,000的最受欢迎网站。
研究小组说:我们发现浏览器指纹识别现在存在于前10万个顶级网站中的10%以上和前十万个网站中的四分之一以上。
但是,研究小组还指出,尽管当前使用浏览器指纹识别的网站数量众多,但并非所有脚本都可用于跟踪。由于自动机器人倾向于具有相同或相似的指纹,因此某些指纹脚本也用于欺诈检测,并且指纹脚本是检测自动化行为的可靠方法。
但是研究小组还分析了脚本试图识别哪些浏览器或JavaScript API功能。
研究人员说:我们的主要见解是,浏览器指纹脚本通常不单独使用一种技术(例如画布指纹),而是将几种技术结合在一起。
研究人员说,他们用重复的指纹识别技术识别了集群,但也发现了包含新技术的集群,这些集群以前未被报道为潜在的指纹识别途径,这表明公司正在积极投资,以基于浏览器的足迹发现新的方式来跟踪用户。
以下是研究人员发现的一些新指纹技术的摘要:
权限指纹:某些网站对浏览器的Permissions API进行了调查,以确定用户是授予还是拒绝了权限。学者表示,他们发现了特定情况,即指纹指纹已探查到用户是否已授予网站Notification,Geolocation和Camera 访问权,并正在使用此信息来跟踪用户。
外围指纹识别:还发现了脚本,用于探测网站是否有权访问连接到游戏手柄和虚拟现实设备的信息,并正在使用此信息来跟踪用户。在其他情况下,某些网站通过其键盘布局,通常是通过浏览器的getLayoutMap函数公开,对用户进行指纹识别 。
API指纹识别:某些网站调查了用户浏览器是否启用了特定的API。例如,一些指纹脚本检查了AudioWorklet API ,仅特定于Chromium浏览器,而其他指纹检查了某些JavaScript函数(如setTimeout 或mozRTCSessionDescription) 是否被扩展覆盖。
定时指纹识别:还发现某些指纹识别脚本测量了某些功能执行所花费的时间。例如,某些网站使用Performance API 来跟踪在预定义操作期间何时发生诸如domainLookupStart,domainLookupEnd,domInteractive和msFirstPaint之 类的事件。
动画指纹识别:该类别是当今最常见的指纹识别方法之一,但研究人员表示,他们发现了网站滥用AudioContext API的新方式。
传感器指纹识别:就像与Web动画相关的功能一样,传感器在指纹识别脚本中也被大量滥用,但是研究小组表示,他们发现了针对鲜为人知的用户接近 传感器进行探测的网站。
有关该团队研究的更多详细信息,可以在定于明年2021年5月举行的IEEE安全与隐私研讨会上发表的名为“ 指纹识别:学习检测浏览器指纹行为 ” 的论文中找到。
该研究小组还表示,它已将托管通过FP-Inspector发现的指纹脚本的域列表报告给Easylsit / EasyPrivacy和Disconnect,这两个项目管理所谓的“阻止列表”,即可以在广告阻止程序中加载的域列表。
考虑此研究论文的用户可以通过在各自的浏览器设置中启用防指纹保护或安装广告拦截器扩展程序来拦截指纹脚本。
点击阅读全文
