IMPRESSÃO DIGITAL DO NAVEGADOR: A TATUAGEM DIGITAL INVISÍVEL QUE RASTREIA VOCÊ
ESCONDENDO-SE EM PLENA VISTA
IMPRESSÃO DIGITAL DO NAVEGADOR: A TATUAGEM DIGITAL INVISÍVEL QUE RASTREIA VOCÊ
Fonte: foto de Immo Wegmann no Unsplash
Este é o primeiro artigo de uma série que explorará as diferentes técnicas usadas para imprimir impressões digitais de dispositivos e usuários. Neste artigo, focaremos na impressão digital do navegador, que é um método de identificação de um usuário com base nas características de seu navegador.
Cookies versus impressão digital do dispositivo Cookies e impressão digital do dispositivo são tecnologias de rastreamento que podem ser usadas para identificar usuários e rastrear suas atividades online. No entanto, existem algumas diferenças importantes entre as duas tecnologias.
Cookies são pequenos arquivos de texto armazenados no dispositivo do usuário. Eles podem ser usados para armazenar uma variedade de informações, como informações de login do usuário, preferências e histórico de navegação. Os cookies são normalmente definidos por sites e podem ser usados para rastrear a atividade de um usuário em vários sites.
A impressão digital do navegador, por outro lado, é uma tecnologia de rastreamento mais complexa que usa uma variedade de fatores para identificar um usuário, como o tipo de dispositivo do usuário, navegador, sistema operacional e até mesmo a maneira como o usuário digita. A impressão digital do navegador pode ser usada para rastrear um usuário em vários sites, mesmo que o usuário tenha excluído seus cookies.
Aqui está uma tabela que resume as principais diferenças entre cookies e impressão digital de dispositivos:
Biscoitos | Impressão digital do navegador | |
Dados armazenados | Arquivo de texto | Mais de 60 sinais |
Localização | Dispositivo do usuário | Lado do servidor |
Visibilidade | Visível para os usuários | Oculto dos usuários |
Persistência | Pode ser excluído pelos usuários | Mais persistente |
Precisão | Pode ser impreciso se os cookies forem excluídos | Mais preciso |
Em geral, os cookies são uma tecnologia de rastreamento menos precisa do que a impressão digital do dispositivo. No entanto, os cookies também são mais transparentes e visíveis para os utilizadores. A impressão digital do dispositivo é uma tecnologia de rastreamento mais precisa, mas fica oculta dos usuários.
Considerações sobre privacidade As impressões digitais podem ser usadas para fins antifraude e de segurança de diversas maneiras, especialmente em serviços críticos. Por exemplo, as impressões digitais podem ser usadas para:
Autenticar usuários: As impressões digitais podem ser usadas para autenticar usuários comparando suas impressões digitais com um banco de dados de impressões digitais conhecidas. Isso pode ser usado para impedir o acesso não autorizado a sistemas e serviços críticos.
Detectar fraudes: As impressões digitais podem ser usadas para detectar fraudes, comparando-as com um banco de dados de impressões digitais fraudulentas conhecidas. Isso pode ser usado para evitar que criminosos usem identidades roubadas para acessar serviços críticos.
Rastrear usuários: As impressões digitais podem ser usadas para rastrear usuários, registrando suas impressões digitais e comparando-as com impressões digitais coletadas em outros horários ou locais. Isso pode ser usado para investigar fraudes ou violações de segurança.
Em serviços críticos, como bancos, saúde e governo, o uso de impressões digitais para fins antifraude e segurança é especialmente importante. Esses serviços lidam com dados confidenciais e exigem um alto nível de segurança. As impressões digitais podem ajudar a proteger estes serviços contra fraudes e acesso não autorizado. Como funciona a impressão digital Em um artigo acadêmico de maio de 2020, “ Fingerprinting the Fingerprinters: Learning to Detect Browser Fingerprinting Behaviors “ , uma equipe de pesquisadores da Universidade de Iowa, Mozilla e da Universidade da Califórnia analisaram como os scripts de impressão digital do navegador são usados pelos operadores de sites.
Usando um kit de ferramentas de aprendizado de máquina chamado FP-Inspector, os pesquisadores analisaram os 100.000 sites mais populares da internet, de acordo com o ranking de tráfego web da Alexa. Eles descobriram que a impressão digital do navegador está agora presente em mais de 10% dos sites entre os 100.000 principais e em mais de um quarto dos sites entre os 10.000 principais.
Os pesquisadores também analisaram os recursos do navegador e as APIs JavaScript que os scripts estavam tentando detectar. Eles descobriram que os scripts de impressão digital do navegador normalmente não usam uma única técnica, mas combinam várias técnicas.
Os pesquisadores identificaram grupos de técnicas recorrentes de detecção de impressões digitais, bem como grupos que continham novas técnicas que não haviam sido relatadas anteriormente. Isso sugere que as empresas estão investindo ativamente em novas maneiras de rastrear usuários com base na impressão digital do navegador.
À medida que as impressões digitais dos dispositivos continuam a evoluir, encontrar um equilíbrio entre experiências digitais contínuas e salvaguardas robustas de privacidade continua a ser um desafio premente.
Vamos dar uma olhada mais profunda no fascinante mundo da impressão digital de dispositivos. A impressão digital de um dispositivo é um quebra-cabeça complexo composto por uma variedade de atributos. Pode ser pensado como um mosaico de alta tecnologia que é tecido a partir do agente do usuário (o termo técnico para o navegador e sistema operacional), dimensões da tela, plug-ins instalados, opções de fontes e até mesmo o idioma usado quando a tecnologia falha. .
A evolução das impressões digitais dos dispositivos ao longo do tempo é uma saga tecnológica digna de nota. Eles evoluíram de propriedades básicas do navegador para uma mistura complexa de atributos, tornando-se o canivete suíço do rastreamento online. Imagine transformar uma foto de passaporte pixelizada em uma representação holográfica 3D completa.
Essa impressão digital é criada com precisão, coletando cuidadosamente dados aparentemente díspares. E assim você tem uma assinatura digital – com um hash calculado em tempo de execução – que identifica de forma única e persistente um dispositivo específico.
Requisitos
Dois requisitos são cruciais para um cálculo adequado da impressão digital do dispositivo: exclusividade e persistência.
A impressão digital do dispositivo deve ser exclusiva o suficiente para identificar um dispositivo com alto grau de precisão. Isso significa que a impressão digital deve ser baseada em uma variedade de atributos, como o agente do usuário, as dimensões da tela, os plug-ins instalados e até mesmo o idioma usado quando a tecnologia falha.
Além disso, a impressão digital do dispositivo deve ser robusta o suficiente para resistir a alterações no dispositivo ou no sistema operacional. Por exemplo, o agente do usuário pode mudar se o usuário atualizar seu navegador, e as dimensões da tela podem mudar se o usuário mudar de monitor. Este é um grande desafio para os desenvolvedores de soluções de impressão digital. Nos últimos anos, algumas melhorias técnicas foram feitas para garantir uma identificação precisa dos dispositivos, mesmo em ambientes variáveis.
A tecnologia tradicional de impressão digital de dispositivos nem sempre é eficaz na detecção de fraudadores que fazem pequenas alterações nas características e comportamentos de seus dispositivos. Isso ocorre porque a tecnologia tradicional de impressão digital de dispositivos normalmente analisa apenas um pequeno número de características estáticas do dispositivo.
Tomemos como exemplo a impressão digital do Canva e a impressão digital de áudio: dois métodos que dependem da análise de desempenho em vez de uma mera abordagem estática.
A impressão digital de tela (baseada em HTML5) é uma técnica para identificar exclusivamente um dispositivo com base na maneira como ele renderiza uma imagem gráfica. Isso é feito desenhando uma imagem exclusiva na tela do dispositivo e medindo o tempo que leva para renderizar a imagem com API WebGL ou execução de JavaScript. Esta imagem pode ser qualquer coisa, mas normalmente é um padrão ou forma simples. O tempo que o dispositivo leva para renderizar a imagem é influenciado por vários fatores, como hardware, software e configurações do dispositivo. Esses fatores podem ser usados para criar uma impressão digital exclusiva para o dispositivo.
Fonte : https://browserleaks.com/webgl
Audio_fingerprinting é uma técnica que usa a API AudioContext para criar uma impressão digital exclusiva do hardware de áudio de um usuário. A API AudioContext é uma API JavaScript que fornece acesso aos recursos de áudio do navegador. Ele pode ser usado para criar e manipular áudio, como reproduzir sons, gravar áudio e processar áudio.
A técnica de impressão digital de áudio de contexto de áudio na verdade não reproduz nenhum áudio. Ele simplesmente mede as características do hardware de áudio, como resposta de frequência, resposta de amplitude e nível de ruído. Essas características são então usadas para criar uma impressão digital exclusiva que pode ser usada para identificar o hardware de áudio do usuário.
Fonte : https://fingerprint.com/blog/audio-fingerprinting/
Entropia e Exclusividade
O escopo de cada sinal de dispositivo ou navegador utilizado como identificador é criar entropia. Quanto mais entropia for criada no perfil de um usuário, mais fácil será atingir o objetivo de exclusividade. Cada identificador único gera uma quantidade de bits de entropia. Um bit é um dígito binário, a menor unidade de informação em um computador. Pode ter um de dois valores: 0 ou 1.
No Panopticlick – um projeto de pesquisa de código aberto desenvolvido para descobrir melhor as ferramentas e técnicas de rastreadores online, algumas métricas são listadas como 0 ou 1, ou verdadeiras ou falsas, para indicar se uma configuração está habilitada ou desabilitada. Embora cada métrica individual possa parecer conter poucas informações, quando combinada com outras métricas do seu navegador, elas podem identificá-lo de maneira exclusiva.
Seus resultados são medidos em “pedaços de informação de identificação”, que é um resumo de todas essas métricas. Se 1 bit não criar uma quantidade significativa de variação, considere o peso de campos como JavaScript, que têm o potencial de adicionar até 30 bits de entropia, o que equivale a uma identificação exclusiva.
A partir de 2007, identificar exclusivamente uma pessoa entre toda a população do planeta exigia: S = log2 (1/6625000000) = 32,6 bits de informação. De forma conservadora, podemos arredondar isso para 33 bits de informação.
Assim, por exemplo, se sabemos a data de nascimento de alguém e sabemos que seu CEP é 40203, temos 8,51 + 23,81 = 32,32 bits; isso é quase, mas talvez não exatamente, o suficiente para saber quem ele é: pode haver algumas pessoas que compartilham essas características. Somando o gênero, são 33,32 bits e provavelmente podemos dizer exatamente quem é a pessoa.
O objetivo da busca do Panopticlick é analisar as informações que o ambiente operacional libera através de identificadores, calculando seu valor em bits ponderados de acordo com o método de pontuação criado para a busca. Este teste confirma novamente as evidências anteriores de que o Mozilla Firefox permite um nível de configuração muito mais profundo do que outros navegadores. Atualmente, alguns pesquisadores do Panopticlick estimam que um navegador deve transmitirpelo menos 17,38 bits de informação de identificação para serem reconhecíveis de forma única.
Neste teste verifiquei os bits de informações identificativas capturadas pela ferramenta Panopticlick nos três ambientes:
Windows 10 Enterprise + Google Chrome versão 106.0.5249.119 (64 bits) (A)
Windows 10 Enterprise + Brave Browser v1.57.57 (64 bits) (B)
Windows 10 Enterprise + Firefox 117.0 (64 bits) (C)
Windows 10 Enterprise + Firefox 117.0 (64 bits) – com configuração de segurança estrita do Firefox (D)
Ambiente | Configuração de privacidade e plug-ins | Pedaços de entropia produzidos |
A | Nenhum | 78,96 |
B | Padrão | 68,69 |
C | Normal + Texugos de privacidade + Bloqueador de tela + Contêiner do Facebook + uBlockOrigin + Exclusão automática de cookies + ClearURLs | 57.16 |
D | Estrito + Texugos de privacidade + Bloqueador de tela + Contêiner do Facebook + uBlockOrigin + Exclusão automática de cookies + ClearURLs | 60,42 |
Este teste mostra que navegadores ainda mais focados na privacidade, como Brave e Firefox, ainda podem ser identificados de forma única através do cálculo de uma impressão digital única. A descoberta mais surpreendente é o ligeiro aumento de bits de entropia ao aplicar a configuração de segurança rigorosa no Firefox.
Paradoxo da privacidade
O uso de impressões digitais de dispositivos levanta sérias preocupações de privacidade. Como as impressões digitais do dispositivo podem ser usadas para rastrear usuários em sites, elas podem ser usadas para criar um perfil detalhado da atividade online de um usuário. Essas informações podem então ser usadas para direcionar publicidade aos usuários ou para rastrear seus movimentos na web.
Se a impressão digital de um navegador for única, será possível que um rastreador on-line nos identifique mesmo nos navegadores mais seguros e voltados para a privacidade.
Às vezes, tecnologias projetadas para melhorar a privacidade do usuário e evitar impressões digitais acabam facilitando a impressão digital. Exemplos extremos incluem muitas formas de falsificação de agente de usuário e extensões de navegador que bloqueiam JS.
O paradoxo, essencialmente, é que muitos tipos de medidas para tornar um dispositivo mais difícil de detectar através de impressões digitais são em si distintivas, a menos que sejam amplamente utilizadas por utilizadores em todo o mundo. Exemplos de plug-ins ou medidas que podem ter como objetivo melhorar a privacidade, mas se mostram ineficazes ou até potencialmente contraproducentes para o reconhecimento de impressões digitais, incluem a randomização do Canva Fingerprint ou o bloqueio completo de scripts JS na sessão do navegador.
Ironicamente, até mesmo o sinal DoNotTrack – DNT (agora quase fora de uso) que alguns navegadores enviam automaticamente em resposta a solicitações de rastreamento pode ser usado, junto com outras técnicas, para traçar o perfil de um usuário. Assim, contramedidas como abas de navegação anônima, mudança de conexão ou reinstalação do próprio navegador acabam sendo completamente ineficazes em termos de evasão de impressões digitais.
Soluções de privacidade da Apple e do Google
A Apple anunciou um novo conjunto de recursos de privacidade em junho de 2023, projetados para tornar mais difícil para os anunciantes rastrear usuários na web. Uma das mudanças mais significativas é uma nova regra que limita o uso de impressões digitais de dispositivos. A nova regra da Apple limita o uso de impressões digitais de dispositivos no Safari, o navegador padrão em iPhones, iPads e Macs.
Sites e aplicativos não podem mais usar impressões digitais de dispositivos para rastrear usuários por mais de uma semana. Além disso, a Apple anunciou que o Safari, seu navegador, bloqueará a impressão digital do dispositivo por padrão em sua próxima versão 17. Isso se soma ao bloqueio existente do Safari de cookies de terceiros.
Fonte: https://www.apple.com/newsroom/2023/06/apple-announces-powerful-new-privacy-and-security-features/
O Google também está tomando medidas para limitar a impressão digital do dispositivo. A empresa está desenvolvendo uma nova API chamada Topics , que permitirá aos anunciantes exibir anúncios com base nos interesses do usuário. No entanto, os Tópicos só permitirão que os anunciantes vejam os interesses do usuário por no máximo uma semana. A API de tópicos será opcional, então os usuários terão que optar por participar.
Ele funciona agrupando os usuários em tópicos com base em seu histórico de navegação, como “esportes” ou “moda” etc. (entre 469 listas de tópicos visíveis publicamente e com curadoria humana) . Os sites podem então solicitar um tópico do navegador, e o navegador retornará um tópico aleatório do perfil do usuário.
A API de tópicos usará um orçamento de privacidade, que é um limite no número de tópicos aos quais um usuário pode ser atribuído. Isto ajudará a proteger a privacidade do usuário, evitando que os sites aprendam muito sobre eles. Os Tópicos serão redefinidos a cada três semanas, portanto o histórico de navegação dos usuários não será usado para rastreá-los ao longo do tempo.
Fonte: https://blog.google/products/chrome/get-know-new-topics-api-privacy-sandbox/
Essas mudanças provavelmente terão um impacto significativo na indústria de publicidade online.
Os anunciantes terão que encontrar novas maneiras de direcionar seus anúncios sem depender da impressão digital do dispositivo. Algumas alternativas possíveis à impressão digital do dispositivo incluem a segmentação contextual, que envolve a exibição de anúncios com base no conteúdo da página que um usuário está visualizando, e dados próprios, que são dados que uma empresa coleta diretamente de seus clientes. Resta saber como a indústria da publicidade online se adaptará a estas mudanças. No entanto, eles são um grande avanço em termos de privacidade na web.
Futuro da impressão digital
O futuro da impressão digital depende do uso crescente de modelos de inteligência artificial (IA). O objetivo é manter a singularidade de uma impressão digital e ao mesmo tempo torná-la mais resistente a pequenas alterações que podem alterar completamente o hash. É aqui que entra a correspondência difusa.
A correspondência difusa é uma técnica poderosa que pode ser usada para melhorar a precisão e a eficiência da identificação exclusiva de um navegador ou dispositivo. Permite correspondências aproximadas entre strings ou, no nosso caso, hashes, em contraste com a correspondência exata, que só permite correspondências perfeitas.
Com a correspondência difusa, até mesmo pequenas alterações em um hash podem ser contabilizadas, tornando mais difícil para os usuários ofuscarem suas impressões digitais. Isso ocorre porque os algoritmos de correspondência difusa podem identificar os elementos persistentes que formam a linha de base do navegador ou dispositivo, mesmo que alguns dos elementos tenham sido alterados.
Além disso, os modelos de IA podem ser usados para aprender os padrões de alterações legítimas em uma impressão digital, como aquelas que ocorrem quando um usuário atualiza seu navegador ou instala um novo plug-in. Essas informações podem então ser usadas para distinguir entre alterações legítimas e alterações maliciosas, como aquelas feitas na tentativa de ofuscar uma impressão digital.
Ao combinar correspondência difusa e IA, é possível criar ferramentas de impressão digital mais precisas, eficientes e resistentes à ofuscação. Isto é essencial para proteger as empresas contra fraudes e outras formas de atividades maliciosas.
Comentários
Postar um comentário