导语:电子前沿基金会(EFF)的Panopticlick工具可以查看浏览器的指纹,在一项调查中发现在77691个浏览器中才会有与调查中使用的浏览器相同的指纹。

cross-browser-system-architecture-800x439.png

跨浏览器指纹追踪系统框架图

使用浏览器上网,已经成为现代人生活中不可或缺的一部分。而浏览器中的插件,字体,UA头文件,位置设置,时区设置,防追踪选项是否打开,是否开启了广告拦截等可以标识用户的信息,我们称之为浏览器指纹。电子前沿基金会(EFF)的Panopticlick工具可以查看浏览器的指纹,在一项调查中发现在77691个浏览器中才会有与调查中使用的浏览器相同的指纹。

指纹追踪技术并不总是为广告商提供了投放定制广告的机会,有时也会给用户带来好处。比如,当用户使用了非常用电脑登录自己的银行账户时,银行就可以给持卡人打电话,确认是否是持卡人登录,以此来保障用户的财产安全。

之前的浏览器指纹追踪技术仅限于单个浏览器,也就是说同一台电脑上Firefox浏览器的指纹很难于Chrome浏览器上的指纹联系起来。最近,来自美国里海大学的曹寅志的项目组发表了《基于操作系统和硬件特性的跨浏览器指纹追踪技术》的学术论文。不仅实现了跨浏览器指纹追踪,而且比单个浏览器指纹追踪更加精准。

曹寅志说道:

浏览器追踪技术会为广告商投放定制广告的机会,这已经侵犯了用户的隐私。而我们的跨浏览器指纹追踪可能会让情况更糟糕,因为即使用户使用了另一个浏览器,广告公司仍旧能够辨别出用户。为了更好地打击隐私侵犯,我们必须先了解我们的敌人。

跨浏览器指纹追踪技术会使用代码让浏览器执行一系列的任务。这些任务会利用操作系统以及包括显卡,多核CPU,声卡,已安装的字体等在内的硬件资源。比如,在浏览器中使用WebGL标准呈现3D图形时跨浏览器指纹追踪技术进行了20个特定的任务。总的来说,36个新特性是独立工作的。

cross-browser-tracking-features-300x755.png

研究人员在论文里写道:

我们在操作系统和硬件的新特性的基础上,提出了跨浏览器指纹追踪技术,因为这些特性在浏览器的API中是以JavaScript代码呈现的,所以浏览器在执行某个特定任务时,我们可以剥离这些特性,剥离的特性在单浏览器或跨浏览器指纹追踪时都可以使用

99%的成功率

当网站访问者执行某一特定任务时,比如读文字,看视频。跨浏览器追踪技术使用的JavaScript代码在后台快速运行。研究人员使用这个网站来演示这项技术,在这里可以看到相关代码。

在三个月的时间里,从1903名用户里收集了3615个指纹,能正确辨别出99.2%的用户。幸运的是,跨浏览器跟踪对默认安装配置的Tor浏览器不起作用。但是很多Tor用户为了支持游戏网站或者其他目的,更改了配置,来支持WebGL图形功能。虽说这些更改可以让Tor浏览器更实用,但也有可能使其对指纹技术免疫度下降。

最后,附上展示跨浏览器指纹追踪技术的网站,和代码 

源链接

Hacking more

...