Diit.cz - Novinky a informace o hardware, software a internetu

Zvukové API prohlížečů lze kdykoli zneužít ke sledování kohokoli na světě

1984
Hodně znepokojivý objev vědců z Princetonu říká, že zvukové API v prohlížečích může být zneužito k fingerprintingu uživatelů. A to jen samotné API, není potřeba mikrofon ani jiné zvukové zařízení.

Metoda fingerprintingu konkrétního uživatele, či lépe řečeno konkrétního počítače, spočívá v tom, že každý počítač má trošičku jiné nastavení a využívání zvukového API AudioContext a také API Canvas. „Slíznutím“ údajů z něj s dalšími detekčními prvky pak lze poměrně přesně identifikovat daného uživatele. Ten přitom vůbec nemusí zvuk na svém PC využívat, stačí jen samotná existence API a přístupu k nim ve webovém prohlížeči. Princeton demonstruje tuto věc na samostatné webové stránce, kde můžete svůj fingerprinting vyzkoušet a bude to ještě lepší, pokud máte nainstalovaný Flash, který také umí využít.

No a teď si představte, že by třeba facebook či NSA (prostě ty nejvíce šmírující organizace :-) tohle používaly ke sledování uživatele na internetu. Pro facebook je to snadné, prakticky většina dnešních webů nese jeho kód v sobě. Ale praktičtější to bude i pro NSA. Nutno ale dodat, že tato metoda má ten zádrhel, pokud uživatel používá více počítačů, což v době smartphonů či tabletů je celkem nasnadě.

Výzkumníci z Princetonu mimo jiné zjistili, že 715 z 1 miliónu největších webových stránek kupříkladu používá ke zjištění lokální IP adresy uživatele rozhraní WebRTC. A nasazují přitom sledovací kód naprogramovaný třetí stranou (podobně jako třeba „sušenkové EU varování“ také na 99,999 % webů pochází z nějakého hotového řešení). Canvas API ke sledování používají tisíce největších stránek, přičemž načítají hotové řešení z více než 400 různých domén. Od roku 2014, kdy výzkumníci analyzovali sledování skrze Canvas API poprvé, se změnilo několik věcí. Tou první je, že skončily některé největší trackery, takže tlak veřejnosti tehdy zafungoval. Na druhou stranu ale značně vzrostl a dále roste počet stránek, které sledování používají, takže tahle technika se stala obecně používanou. Ale vše je stále více používáno ne pro samotné sledování uživatelů, ale spíše pro detekci podvodů, mj. reklamním průmyslem na internetu, což je považováno za akceptovatelné použití trackingu.

Tagy: 
Zdroje: 

David "David Ježek" Ježek

Bývalý zdejší redaktor (2005-2017), nyní diskusní rejpal.

více článků, blogů a informací o autorovi

Diskuse ke článku Zvukové API prohlížečů lze kdykoli zneužít ke sledování kohokoli na světě

Úterý, 31 Květen 2016 - 19:33 | Trashman | Stát, který od roku 1945 vedl 60 válek vždy na...
Pátek, 27 Květen 2016 - 23:12 | t117 | Krasna ukazka demagogie:) hned nekolik...
Pátek, 27 Květen 2016 - 10:40 | richie r | Ano, mali by sme sa starat o svoj jazyk, to je...
Čtvrtek, 26 Květen 2016 - 21:05 | Trashman | Takže podle vás někteří úchylní jedinci způsobí...
Čtvrtek, 26 Květen 2016 - 11:39 | t117 | Ja rozhodne nejsem priznivcem samozrejmeho...
Čtvrtek, 26 Květen 2016 - 08:49 | PV | Ještě jednou bych se připomněl se svou ironií o...
Čtvrtek, 26 Květen 2016 - 07:39 | Trashman | Ačkoliv předpokládám, že je to všem uživatelům...
Čtvrtek, 26 Květen 2016 - 07:38 | Trashman | - smazán zdvojený příspěvek
Čtvrtek, 26 Květen 2016 - 07:31 | Trashman | Vzhledem k tomu, že jsem překladatel programů z...
Čtvrtek, 26 Květen 2016 - 00:34 | t117 | mam dojem, ze tohle je snad kazdemu jasne, ale -...

Zobrazit diskusi