Řada velkých webů tajně sleduje uživatele

13. 10. 2013

Sdílet

 Autor: © Sean Gladwell - Fotolia.com
Výzkum Luevenské univerzity ukázal, že 145 z největších webů sleduje uživatele bez jejich souhlasu pomocí skrytých skriptů, které dokáží jednoznačně identifikovat použitá zařízení.

Technologie otisků prstů (device či browser fingerprinting) je metoda, která na základě sběru vlastností PC, chytrých telefonů a tabletů dokáže identifikovat a sledovat uživatele. Mezi takové vlastnosti patří velikost obrazovky, verze nainstalovaných programů a modulů plugin a seznam písem dostupných v systému. Studie EFF (Electronic Frontier Foundation) z roku 2010 ukázala, že pro naprostou většinu prohlížečů je kombinace těchto parametrů zcela jedinečná a uživatele lze tak kdykoli identifikovat bez nutnosti využívat technologie cookie, kterou navíc lze snadno zakázat.

Snímání otisků se nejčastěji provádí pomocí skriptů napsaných pro flash, prakticky všudypřítomné rozšíření pro přehrávání médií v prohlížečích, případně pro Javascript, nejrozšířenější programovací jazyk webových aplikací.

Studie nizozemské univerzity v Leuvenu je první, která se pokusila detailně zjistit rozsah snímání otisků zařízení v Internetu. Podle výsledků 145 (přibližně 1,5 procenta) z 10 000 největších webů používá ve flashi schované skripty snímající a ověřující otisk zařízení. Některé z objektů flash navíc prováděly pochybné techniky včetně zjišťování vlastní IP adresy uživatelů, kteří web navštívili stíněni serverem proxy.

404 z prvního milionu webů potom implementuje techniku otisků zařízení v jazyce Javascript, což jim umožňuje sledovat i mobilní zařízení, ve kterých nemusí flash fungovat. Skripty vytvářely seznamy systémových písem – kterých může být několik set – měřením prostoru, které na obrazovce zabraly nenápadně zobrazené řetězce.

Ke sledování uživatelů často docházelo bez ohledu na nastavení parametru Do Not Track (DNT), který má zamezit sledování uživatelů. K detekci podobných praktik lze využít nástroj FPDetective, který vytvořili autoři zmíněné studie a který bude volně dostupný v internetu. Metod a technik otisků zařízení postupně přibývá, autoři identifikovali 16 nových provozovatelů identifikačních služeb, které si majitelé webů mohou pronajmout.

Součástí studie, která bude prezentována na listopadové konferenci ACM o bezpečnosti počítačů a komunikací v Berlíně, je i analýza nástrojů Tor Browser a Fingergloves, snažících se mimo jiné právě zabránit zjišťování otisků zařízení. Bylo v nich nalezeno několik slabin, které v určitých scénářích mohou vést k identifikaci uživatele.

Vytvoření otisku zařízení může být zneužito pro různé typy podvodného marketingu, stejně tak ale může být součástí bezpečnostních řešení, snažících se například zabránit krádežím identit.

Autor článku