Key takeaways
- En forskare har skapat en webbplats som genererar ett unikt fingeravtryck baserat på installerade webbläsartillägg.
- Fingeravtrycket kan användas för att spåra användarna över webben, hävdar forskaren.
- Säkerhetsexperter föreslår att du tar bort alla onödiga tillägg för att undvika att sticka ut.
Tilläggen i din webbläsare kan användas för att identifiera dig unikt på webben.
För att ge människor en chans att uppleva detta har en säkerhetsforskare skapat en webbplats som analyserar de installerade Google Chrome-tilläggen för att generera ett fingeravtryck, som han hävdar kan användas för att spåra dem online.
"När som helst det finns något semi-unikt i en dator kan det användas för att ta fram ett fingeravtryck", sa Erich Kron, säkerhetsmedvetandeförespråkare på KnowBe4, till Lifewire via e-post. "Hur unikt fingeravtrycket är kan bero på vad som mäts eller testas."
Webbläsarfingeravtryck
Forskaren, som använder pseudonymen z0ccc, förklarade att webbläsarfingeravtryck är en kraftfull metod som många webbplatser använder för att samla in alla typer av detaljer om besökarna, inklusive deras webbläsartyp och version, deras operativsystem, aktiva plugins, tid zon, språk, skärmupplösning och olika andra aktiva inställningar.
Han hävdade att även om dessa datapunkter kanske inte är till stor nytta i sig själva, kan de, när de kombineras, hjälpa till att unikt identifiera en specifik person, eftersom det finns en mycket liten chans att flera personer har samma uppsättning datapunkter.
Våra integritetsbestämmelser har mycket att komma ikapp med.
"Webbplatser använder informationen som webbläsare tillhandahåller för att identifiera unika användare och spåra deras onlinebeteende", förklarade z0ccc. "Denna process kallas därför 'webbläsarfingeravtryck'."
Baserat på kombinationen av installerade tillägg genererar webbplatsen en spårningshash som kan användas för att spåra just den webbläsaren på webben.
Forskaren förklarade att hans Extensions Fingerprint-test bygger på vissa webbläsartilläggsegenskaper, som han sa finns i över 1100 tillägg, inklusive populära sådana som AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, och mer.
Han medgav att vissa tillägg vidtar åtgärder för att förhindra upptäckt. Men han hittade ett knep för att använda deras beteende för att avgöra om någon av dessa skyddade tillägg var installerade.
I en intervju bekräftade z0ccc att även om han inte samlar in någon data om de installerade tilläggen från personer som använder hans webbplats, har hans tester visat att med 3+ tillägg kommer att skapa ett unikt fingeravtryck.
I huvudsak kommer personer utan installerade tillägg att ha samma fingeravtryck, vilket gör dem mindre unika och svåra att spåra. Omvänt kommer de med många förlängningar att ha ett mindre vanligt fingeravtryck, vilket gör dem mer benägna att spåra.
Handskarna är avstängda
I en e-postdiskussion med Lifewire sa Harman Singh, direktör för cybersäkerhetstjänsteleverantören Cyphere, att webbläsarfingeravtryck är en välkänd teknik som används av webbplatser för onlineannonsering och marknadsföring över hela världen.
Datainsamling är en integrerad del av ekosystemet för onlineannonsering, förklarade Singh, och den här typen av webbläsarfingeravtryck är bara ytterligare en mekanism för att hjälpa dem att visa riktade annonser.
Dessutom tillade han att även finansinstitutioner som banker använder dessa webbläsares fingeravtrycksmetoder som en del av sina bedrägeriupptäckningsmekanismer för att upptäcka om deras besökare är en äkta användare eller en skadlig anomali som en bot.
Fingeravtryck i webbläsare är inte olagligt eftersom det inte identifierar en användare. Däremot styrs insamlingen av data av integritetslagar såsom General Data Protection Regulation (GDPR) och California Consumer Privacy Act (CCPA), tillade Singh.
Vi pratade specifikt om z0cccs Extension Fingerprints-test och förklarade att även om det är intressant ur ett akademiskt perspektiv, verkar det begränsat i sin användbarhet i sin nuvarande form.
"Dessutom, i mina begränsade tester, tog detta inte upp vanliga tillägg i Edge-webbläsaren, och returnerade samma hash för Chrome i inkognitoläge, som det gjorde Edge med LastPass-tillägget installerat, " sa Kron. "Det har funnits andra fingeravtrycksmetoder som använder hårdvara, beräkningar gjorda av det installerade grafikkortet, till exempel, som kan vara lite svårare att komma runt."
För att hjälpa oss föreslå sätt för människor att hjälpa till att kringgå sådana webbläsarfingeravtryck, sa Singh att ett bra ställe att börja är verktyget Panopticlick, som ger insikt i hur mycket och vilken typ av information din webbläsare avslöjar för webbplatser.
Å andra sidan anser Kron att det alltid är bra att ta bort eller inaktivera oanvända webbläsartillägg.
"För internetanvändare är det inte möjligt att ha ett fullständigt skydd mot sådana spårningstekniker såvida det inte dikteras av lag", menade Singh. "Våra integritetsbestämmelser har mycket att hinna med."