ซื้อกลับบ้านที่สำคัญ
- นักวิจัยได้สร้างเว็บไซต์ที่สร้างลายนิ้วมือที่ไม่ซ้ำกันตามส่วนขยายเบราว์เซอร์ที่ติดตั้งไว้
- ลายนิ้วมือสามารถใช้เพื่อติดตามผู้ใช้ทั่วทั้งเว็บ นักวิจัยกล่าว
- ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ลบส่วนขยายที่ไม่จำเป็นทั้งหมดออกเพื่อไม่ให้โดดเด่น
ส่วนขยายในเว็บเบราว์เซอร์ของคุณสามารถใช้เพื่อระบุตัวตนของคุณบนเว็บได้
เพื่อให้ผู้คนมีโอกาสได้สัมผัสสิ่งนี้ นักวิจัยด้านความปลอดภัยได้สร้างเว็บไซต์ที่วิเคราะห์ส่วนขยายของ Google Chrome ที่ติดตั้งเพื่อสร้างลายนิ้วมือ ซึ่งเขาอ้างว่าสามารถใช้ติดตามพวกเขาทางออนไลน์ได้
"ทุกครั้งที่มีบางสิ่งที่กึ่งไม่ซ้ำกันในคอมพิวเตอร์ มันสามารถถูกใช้เพื่อสร้างลายนิ้วมือได้" Erich Kron ผู้สนับสนุนด้านความตระหนักด้านความปลอดภัยของ KnowBe4 กล่าวกับ Lifewire ทางอีเมล "เอกลักษณ์ของลายนิ้วมือนั้นขึ้นอยู่กับสิ่งที่กำลังวัดหรือทดสอบ"
ลายนิ้วมือเบราว์เซอร์
นักวิจัยซึ่งใช้นามแฝง z0ccc อธิบายว่าลายนิ้วมือของเบราว์เซอร์เป็นวิธีที่มีประสิทธิภาพที่เว็บไซต์จำนวนมากใช้เพื่อรวบรวมรายละเอียดทุกประเภทเกี่ยวกับผู้เยี่ยมชม รวมถึงประเภทและเวอร์ชันของเบราว์เซอร์ ระบบปฏิบัติการ ปลั๊กอินที่ใช้งานอยู่ เวลา โซน ภาษา ความละเอียดหน้าจอ และการตั้งค่าอื่นๆ ที่ทำงานอยู่
เขาแย้งว่าแม้จุดข้อมูลเหล่านี้อาจไม่ได้มีประโยชน์อะไรมากนัก แต่เมื่อนำมารวมกันก็สามารถช่วยในการระบุบุคคลที่เฉพาะเจาะจงได้ เนื่องจากมีโอกาสน้อยมากที่คนหลายคนจะมีจุดข้อมูลชุดเดียวกัน
กฎระเบียบด้านความเป็นส่วนตัวของเรามีหลายอย่างที่ต้องติดตาม
"เว็บไซต์ใช้ข้อมูลที่เบราว์เซอร์ระบุเพื่อระบุผู้ใช้ที่ไม่ซ้ำกันและติดตามพฤติกรรมออนไลน์ของพวกเขา" z0ccc อธิบาย "กระบวนการนี้จึงเรียกว่า 'ลายพิมพ์ลายนิ้วมือของเบราว์เซอร์'"
จากการผสมผสานของส่วนขยายที่ติดตั้งไว้ เว็บไซต์สร้างแฮชติดตามที่สามารถใช้เพื่อติดตามเบราว์เซอร์นั้น ๆ ทั่วทั้งเว็บ
ผู้วิจัยอธิบายว่าการทดสอบ Extensions Fingerprint ของเขานั้นอาศัยคุณสมบัติส่วนขยายเบราว์เซอร์บางอย่าง ซึ่งเขากล่าวว่ามีอยู่ในส่วนขยายมากกว่า 1100 รายการ รวมถึงส่วนขยายยอดนิยม เช่น AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, และอื่นๆ
เขายอมรับว่าส่วนขยายบางอย่างใช้ขั้นตอนเพื่อป้องกันการตรวจจับ อย่างไรก็ตาม เขาพบเคล็ดลับในการใช้พฤติกรรมเพื่อดูว่ามีการติดตั้งส่วนขยายที่ได้รับการป้องกันไว้หรือไม่
ในการให้สัมภาษณ์ z0ccc ยืนยันว่าแม้ว่าเขาจะไม่ได้รวบรวมข้อมูลใด ๆ เกี่ยวกับส่วนขยายที่ติดตั้งจากผู้ที่ใช้เว็บไซต์ของเขา แต่การทดสอบของเขาแสดงให้เห็นว่ามีนามสกุล 3+ จะสร้างลายนิ้วมือที่ไม่ซ้ำกัน
โดยพื้นฐานแล้ว ผู้ที่ไม่ได้ติดตั้งส่วนขยายจะมีลายนิ้วมือเหมือนกัน ทำให้มีเอกลักษณ์เฉพาะตัวน้อยลงและติดตามได้ยาก ในทางกลับกัน ผู้ที่มีนามสกุลจำนวนมากจะมีลายนิ้วมือน้อยกว่า ทำให้ง่ายต่อการติดตาม
ถุงมือถูกปิด
ในการสนทนาทางอีเมลกับ Lifewire Harman Singh ผู้อำนวยการ Cyphere ผู้ให้บริการความปลอดภัยทางไซเบอร์กล่าวว่าลายนิ้วมือของเบราว์เซอร์เป็นเทคนิคที่รู้จักกันดีซึ่งใช้โดยเว็บไซต์โฆษณาและการตลาดออนไลน์ทั่วโลก
การรวบรวมข้อมูลเป็นส่วนสำคัญของระบบนิเวศการโฆษณาออนไลน์ Singh อธิบาย และการพิมพ์ลายนิ้วมือของเบราว์เซอร์ประเภทนี้เป็นอีกกลไกหนึ่งที่จะช่วยให้พวกเขาแสดงโฆษณาที่ตรงเป้าหมาย
นอกจากนี้ เขาเสริมว่าแม้แต่สถาบันการเงินอย่างธนาคารก็ใช้วิธีสแกนลายนิ้วมือของเบราว์เซอร์เหล่านี้เป็นส่วนหนึ่งของกลไกการตรวจจับการฉ้อโกงเพื่อตรวจสอบว่าผู้เยี่ยมชมเป็นผู้ใช้จริงหรือสิ่งผิดปกติที่เป็นอันตรายเช่นบอท
ลายนิ้วมือของเบราว์เซอร์ไม่ผิดกฎหมายเพราะไม่ได้ระบุตัวผู้ใช้ อย่างไรก็ตาม การรวบรวมข้อมูลอยู่ภายใต้กฎหมายความเป็นส่วนตัว เช่น กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) และกฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA) นายสิงห์เสริมว่า
พูดถึงการทดสอบ Extension Fingerprints ของ z0ccc โดยเฉพาะ Kron อธิบายว่าถึงแม้จะเป็นเรื่องที่น่าสนใจจากมุมมองทางวิชาการ แต่ดูเหมือนว่ามีประโยชน์อย่างจำกัดในรูปแบบปัจจุบัน
"นอกจากนี้ ในการทดสอบที่จำกัดของฉัน สิ่งนี้ไม่ได้รับส่วนขยายทั่วไปในเบราว์เซอร์ Edge ส่งคืนแฮชเดียวกันสำหรับ Chrome ในโหมดไม่ระบุตัวตน เช่นเดียวกับ [ใน] Edge ที่ติดตั้งส่วนขยาย LastPass " โครนกล่าว "มีวิธีพิมพ์ลายนิ้วมือแบบอื่นๆ ที่ใช้ฮาร์ดแวร์ เช่น การคำนวณโดยการ์ดกราฟิกที่ติดตั้งไว้ ซึ่งอาจแก้ไขได้ยากขึ้นเล็กน้อย"
เพื่อช่วยเราแนะนำวิธีที่ผู้คนสามารถหลีกเลี่ยงลายนิ้วมือของเบราว์เซอร์ดังกล่าวได้ Singh กล่าวว่าจุดเริ่มต้นที่ดีคือเครื่องมือ Panopticlick ซึ่งให้ข้อมูลเชิงลึกว่าเว็บเบราว์เซอร์ของคุณเปิดเผยข้อมูลบนเว็บไซต์มากน้อยเพียงใดและประเภทใด
ในทางกลับกัน Kron เชื่อว่าการนำออกหรือปิดใช้งานส่วนขยายเบราว์เซอร์ที่ไม่ได้ใช้เป็นแนวทางปฏิบัติที่ดีเสมอ
"สำหรับผู้ใช้อินเทอร์เน็ต การป้องกันเทคนิคการติดตามดังกล่าวเป็นไปไม่ได้อย่างสมบูรณ์ เว้นแต่กฎหมายกำหนด” ซิงห์กล่าว "กฎระเบียบด้านความเป็นส่วนตัวของเรามีหลายอย่างที่ต้องติดตาม"