• صفحه نخست
  • اخبار
  • چطور تشخیص دهیم وبسایتی دارد اثر انگشتِ مرورگرمان را برمی‌دارد؟

چطور تشخیص دهیم وبسایتی دارد اثر انگشتِ مرورگرمان را برمی‌دارد؟

۱۳۹۹/۱۰/۲۴امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ استفاده از اثر انگشت، دقیق‌ترین روش شناسایی یک فرد به حساب می‌آید؛ فرقی هم ندارد که خطوط پیچ در پیچ اثر انگشت را از نزدیک و یا به طرز مشابهی اطلاعات منحصر به فردش را در مرورگر ببینید.

برداشتن اثر انگشت فردی بدون اینکه خودش خبر داشته باشد به مراتب سخت‌تر می‌شود اما محض اطلاع بگوییم که همه‌ی سرویس‌های اینترنتی کاربران خود را با «اثر انگشتِ مرورگرهایشان» شناسایی می‌کنند- و خوب همیشه هم این سرویس‌ها در این خصوص رضایت شما را مد نظر قرار نمی‌دهند. تیمی از دانشگاه بوندس‌وهر مونیخ افزونه‌ای را ساخته‌اند که به شما اجازه می‌دهد ردیابی کنید و ببینید کدام وبسایت‌ها اثر انگشت مرورگر شما را جمع می‌کنند و این کار را چطور انجام می‌دهند؟ این تیم همچنین 10 هزار وبسایت معروف را مورد بررسی قرار داده تا متوجه شود آن‌ها چه نوع اطلاعاتی را جمع‌آوری می‌کنند. جولیان فیه‌تکو یکی از اعضای تیم در «کنگره ارتباطات آشوب[1]» (که به دلیل همه‌گیری کووید 19 به صورت ریموت برگزار شد) سخنرانی پیرامون این مسئله و اقداماتی که تیمش در این راستا انجام داده است ارائه داد.

اثر انگشت مرورگر[2] چیست؟

اثر انگشتِ مرورگر مجموعه‌ایست از داده‌هایی که وبسایت می‌تواند موقع لود شدن صفحه (بنا به درخواست) درباره‌ی کامپیوتر و مرورگر شما بدست آورد. این اثر انگشت شامل ده‌ها «نقطه داده[3]» می‌شود؛ از زبانی که استفاده می‌کنید و منطقه زمانی‌تان گرفته تا اینکه کدام افزونه‌‌ها را نصب کرده‌اید و نسخه‌ی مرورگرتان چیست. همچنین ممکن است شامل اطلاعاتی در مورد سیستم‌عامل، رَم، رزولوشن نمایشگر، تنظیمات فونت شما و ... نیز بشود. نوع و مقدار اطلاعاتی که وبسایت‌ها جمع‌‌آوری می‌کنند مختلف است؛ این اطلاعات برای تولید یک شناساگر منحصر به فرد مخصوص کاربر استفاده می‌شود. شاید بگویید اثر انگشت مرورگر همان کوکی است، اما این دو با هم فرق دارند. و هرچند مجبور باشید به استفاده از کوکی‌ها رضایت دهید (شاید همین حالا هم از بستن نوتیفیکیشن‌های our site uses cookies خسته شده باشید) اما پروسه‌ی برداشتنِ اثر انگشت مرورگرتان به رضایت خاطر شما نیازی ندارد! افزون بر این، حتی استفاده از حالت ناشناس[4] هم نمی‌تواند جلوی برداشته شدن اثر انگشت مرورگر شما را بگیرد. تقریباً همه پارامترهای مرورگر و دستگاه مثل سابق باقی خواهد ماند و می‌توان از این پارامترها برای تعیین اینکه فردِ وبگرد، خودتان هستید استفاده کرد.

چطور از اثر انگشت‌های مرورگر استفاده و بعضاً سوءاستفاده می‌شود؟

اولین هدف یک اثر انگشت مرورگر، تأیید هویت کاربر است، آن هم بدون اینکه ذره‌ای دردسر برایش ایجاد شود. برای مثال، اگر بانکی بتواند از اثر انگشت مرورگر شما متوجه شود که دارید تراکنشی را انجام می‌دهید، دیگر نیازی نیست به گوشی موبایلتان کد امنیتی ارسال کنند. در چنین نمونه‌ای، اثر انگشت‌های مرورگر تجربه‌ی شما را ارتقا می‌بخشند.

هدف بعدی نمایش تبلیغات هدف‌دار است. در یک وبسایت دفترچه راهنمایی راجع به انتخاب اتو بخوانید و بعد به وبسایت دیگری بروید که از همان شبکه‌ی تبلیغاتی استفاده می‌کند. آنگاه خواهید دید که آن شبکه تبلیغاتی نیز آگهی‌های اتو برایتان نمایش می‌دهد.

اساساً، این ردیابی بدون رضایت صورت می‌گیرد و کاربران حق دارند نسبت به این عمل اساس بدی داشته باشند و شک کنند. با این حال بسیاری از وبسایت‌ها که از اجزای درون‌سازه‌ایِ انوع شبکه‌های تبلیغاتی و خدمات تحلیلی برخوردارند، اثر انگشت‌های شما را جمع‌آوری کرده و آنالیز می‌کنند.

چطور بفهمیم سایتی دارد اثر انگشت مرورگر ما را برمی‌دارد؟

یک وبسایت برای کسب اطلاعات جهت جمع‌آوری اثر انگشت مرورگر از طریق کد جاسازی‌شده‌ی جاوا اسکریپت، چندین درخواست را به مرورگر ارسال می‌کند. مجموع پاسخ‌های مرورگر، در نهایت اثر انگشت آن را می‌سازد. فیه‌‌تکو و همکارانش محبوب‌ترین آرشیوهایی که از این کد جاوا اسکریپت برخوردار بودند مورد تحلیل قرار داده و فهرستی از 115 تکنیک مختلف جمع‌آوری کردند (تکنیک‌هایی که بیشتر اوقات برای کار با اثر انگشت‌های مرورگر مورد استفاده قرار می‌گیرند). سپس آن‌ها افزونه‌ی مرورگری به نام FPMON را ساختند. FPMON در واقع صفحات وبی را آنالیز می‌کند تا ببیند آن‌ها از این تکنیک‌ها استفاده می‌کنند یا نه و اینکه به کاربر بگوید فلان سایت سعی دارد برای برداشتن اثر انگشت مرورگر دقیقاً چه داده‌هایی را جمع‌آوری‌ کند. کاربرانی که FPMON را نصب کرده باشند وقتی وبسایت از مرورگر اطلاعات این چنینی درخواست می‌دهد، نوتیفیکیشنی را دریافت خواهند کرد. علاوه بر این، تیم تحقیقاتی مذکور طیف اطلاعاتی را به دو گروه دسته‌بندی کرده‌اند: داده‌ها حساس و داده‌های تهاجمی. داده‌های حساس شامل اطلاعاتی می‌شود که ممکن است وبسایتی بنا به دلایل قانونی درخواست دهد. بعنوان مثال اگر سایتی زبان مرورگر شما را بداند می‌تواند به زبان مورد نظر شما ظاهر شود یا اگر منطقه زمانی شما به سایت داده شود، سایت می‌تواند زمان درست را به شما نمایش دهد. با این حال، اطلاعات تهاجمی به سایت ارتباطی ندارد و صرفاً برای بردن اثر انگشت مرورگر شما مورد استفاده قرار می‌گیرد. اطلاعات تهاجمی ممکن است فرضاً شامل مقدار حافظه دستگاه یا فهرست پلاگین‌های نصب‌شده در مرورگر شما شود.

سایت‌ها در جمع‌آوری اثر انگشت‌های مرورگر تا چه حد تهاجمی رفتار می‌کنند؟

FPMON می‌تواند 40 نوع درخواست‌ اطلاعات را شناسایی کند. تقریباً همه‌ی وبسایت‌ها دست‌کم یک سری اطلاعات در مورد مرورگر یا دستگاه شما می‌خواهند. سوال اینجاست که چه زمان باید فرض را بر این بگیریم یک وبسایت دارد اثر انگشت مرورگر ما را بر می‌دارد؟ در چه مرحله‌ای باید احساس نگرانی کنیم؟ محققین برای نمایش نحوه عملکرد گرفتن اثر انگشت مرورگر از سایت‌های موجود نظیر پروژه‌ی Panopticlick شرکت EFF (یا همان Cover Your Tracks) استفاده کردند. Panopticlick برای اجرا 23 پارامتر نیاز دارد و اگر این پارامترها بدان داده شود می‌تواند با بیش از 90 درصد اطمینان کاربر را شناسایی کند. فیه‌تکو و تیمش 23 پارامتر را ارزش حداقلیِ خود قرار دادند که معادل این تعداد پارامتر یا بیش از آن می‌تواند حاکی از ردیابیِ کاربر توسط وبسایت باشد. محققین مذکور روی 10 هزار وبسایت کار کردند (وبسایت‌های امتیازدهی شده توسط الکسا) و متوجه شدند که بیشتر آن‌ها –حدوداً 57 درصد- بین 7 تا 15 پارامتر درخواست کردند (ارزش متوسط کل نمونه 11 پارامتر تخمین زده شد). حدود 5 درصد وبسایت‌ها حتی یک پارامتر هم جمع‌آوری نکرده بودند و ماکسیمم تعداد پارامتر جمع‌شده نیز 38 از 40 تخمین زده شد. با این حال، تنها سه مورد از 10 هزار مورد این تعداد پارامتر را درخواست کرده بودند. وبسایت‌ها در نمونه‌شان از بیش از صد اسکریپت برای جمع‌آوری داده استفاده کرده بودند و گرچه اسکریپت‌های معدودی توانسته بودند از دسته‌بندی اطلاعات تهاجمی داده جمع کنند اما این اطلاعات توسط وبسایت‌های بسیار محبوب استفاده می‌شوند.

راهکارهای امنیتی

اتخاذ دو رویکرد می‌تواند مانع این شود که اسکریپت‌های وبسایت، اثر انگشت مرورگر شما را بردارند: 1. بلاک کردنشان 2. ارائه‌ی اطلاعات ناقص یا غلط. نرم‌افزار‌های حریم خصوصی از یکی از این متود استفاده می‌کنند. بعنوان مثال اگر بخواهیم بخش مرورگر را مد نظر قرار دهیم، Safari همین اواخر شروع کرد به ارائه‌ی اطلاعاتی پایه و غیرشخصی. بدین‌ترتیب کاربرانش در برابر جمع‌آوری اثر انگشت مرورگر در امان ماندند. برخی از سازمان‌ها نیز در همین راستا وارد میدان شدند. برای مثال Privacy Badger، پلاگین حریم خصوصی ساخت شرکت EFF سعی کرده است اسکریپت‌ها را بلاک کند، هرچند همه‌شان مشمول این بلاک نمی‌شوند. بعنوان مثال این پلاگین اسکریپت‌هایی برای نمایش صحیح صفحه درخواست داده‌های لازم می‌کنند بلاک نمی‌کند (البته کارکردهای این چنینی نیز ممکن است به برداشتن اثر انگشت مرورگر کمک کند).

ما نیز از همین رویکرد در افزونه مروگر Kaspersky Protection خود استفاده می‌کنیم. با این کار نمی‌گذاریم وبسایت‌ها اطلاعات زیادی از کاربر جمع کنند و در نهایت اثر انگشت مرورگر را بردارند. Kaspersky Protection بخشی از راهکارهای اصلی امنیت مصرف‌کننده‌ی ما را تشکیل می‌دهد. فقط یادتان نرود آن را فعالسازی کنید.

 

 

[1] Remote Chaos Communication Congress

[2] browser fingerprint

[3] data poin، به مقدار عددی که روی نمودار مشخص شده باشد می‌گویند.

[4] Incognito mode

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.