Дослідники з Прінстона виявили «тіньовий» інструмент ідентифікації користувачів в плагін AddThis

    
 
Днями в Мережі з'явилося відразу кілька публікацій , тема яких — прихований спосіб ідентифікації користувачів відвідуваними сайтами. Цей спосіб (який отримав назву «canvas fingerprint») досить складно, якщо взагалі можливо, заблокувати стандартними методами, типу блокуванням куков або установкою AddBlock або схожих плагінів.
 
При цьому такий спосіб ідентифікації вже виявлений на 5% найпопулярніших сайтів світу, включаючи WhiteHouse.gov і YouPorn.com. Сам метод досить зрозумілий: при заході на який-небудь сайт, з встановленим кодом відстеження користувача, такий ресурс запрошувати у браузера користувача отрисовку прихованого зображення. Оскільки будь-який ПК унікальний (свій набір «заліза», властивості апаратного забезпечення, набір ПЗ та інше), то і відмалює зображення — унікально.
 
 отрісовани зображення можна використовувати як «відбитка пальця», з присвоєним влаштуванню унікальним ідентифікатором. Ну, а далі, як кажуть, вже справа техніки — відстежувати ПК з присвоєним ідентифікатором і дії власника цього ПК в Мережі нескладно. При цьому, як уже говорилося вище, стандартними методами заблокувати подібний спосіб ідентифікації практично неможливо.
 
  Дослідники з'ясували, що код з ідентифікатором використовувався на сайтах, які співпрацювали з компанією AddThis . Як з'ясувалося, такий код встановлений на 5% 100000 топових сайтів. Більшість «заражених» сайтів використовували інструменти AddThis для соціальної взаємодії, набір плагінів, де і був вбудований ділянку з інструкцією для браузера по отрісовке зображення.
 
Все це не є чимось дуже новим, про подібні методи ідентифікації користувачів заявляли ще 2012 році, дослідники з Каліфорнійського Університету.
 
У червні розробники Tor Project навіть додали в свій браузер функцію повідомлення користувача про те, що який-небудь сайт намагається використовувати описаний метод ідентифікації. На даний момент жодна інша компанія-розробник браузера не запропонувала аналогічного інструменту.
 
До речі, роком раніше російський розробник Валентин Васильєв виклав у Мережу свій код з подібним методом ідентифікації користувача (сам він, у свою чергу, використовував відкриті напрацювання сторонніх програмістів). За словами Васильєва, точність ідентифікації з використанням отрисовки прихованого зображення — близько 90%. При цьому мобільні пристрої мало сумісні з таким методом.
 
Представники AddThis, наскільки можна судити, допрацювали проект Васильєва, і вирішили випробувати власний код, розмістивши його у своєму соціальному плагіні. За словами представників компанії, все це використовувалося не зі злого наміру, а в якості вивчення можливості замінити куки чимось іншим. А сайти, на яких розміщувався код AddThis, не повідомляв про наявність ділянки з інструментом ідентифікації, щоб результати тесту «в польових умовах» були максимально реальними.
 
Крім того, AddThis повідомили, що дані вже ідентифікованих користувачів не використовувалися в яких цілях, окрім вже вказаного вивчення можливості заміни cookies альтернативними інструментами.
 
Via propublica
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.