Belangrijkste afhaalrestaurants
- Een onderzoeker heeft een website gemaakt die een unieke vingerafdruk genereert op basis van geïnstalleerde browserextensies.
- De vingerafdruk kan worden gebruikt om gebruikers op internet te volgen, beweert de onderzoeker.
- Beveiligingsexperts stellen voor om alle onnodige extensies te verwijderen om niet op te vallen.
De extensies in uw webbrowser kunnen worden gebruikt om u uniek te identificeren op internet.
Om mensen de kans te geven dit te ervaren, heeft een beveiligingsonderzoeker een website gemaakt die de geïnstalleerde Google Chrome-extensies analyseert om een vingerafdruk te genereren, die volgens hem kan worden gebruikt om ze online te volgen.
"Elke keer dat er iets semi-unieks in een computer zit, kan het worden gebruikt om een vingerafdruk af te leiden", vertelde Erich Kron, pleitbezorger van beveiligingsbewustzijn bij KnowBe4, via e-mail aan Lifewire. "Hoe uniek die vingerafdruk is, kan afhangen van wat er wordt gemeten of getest."
Browservingerafdrukken
De onderzoeker, die het pseudoniem z0ccc gebruikt, legde uit dat browservingerafdrukken een krachtige methode is die veel websites gebruiken om allerlei details over de bezoekers te verzamelen, inclusief hun browsertype en -versie, hun besturingssysteem, actieve plug-ins, tijd zone, taal, schermresolutie en verschillende andere actieve instellingen.
Hij voerde aan dat hoewel deze datapunten op zichzelf misschien niet veel nut hebben, ze, wanneer ze gecombineerd worden, kunnen helpen om één specifieke persoon uniek te identificeren, aangezien er een zeer kleine kans is dat meerdere mensen dezelfde set datapunten hebben.
Onze privacyregelgeving heeft veel in te halen.
"Websites gebruiken de informatie die browsers verstrekken om unieke gebruikers te identificeren en hun online gedrag te volgen", legt z0ccc uit. "Dit proces wordt daarom 'browservingerafdrukken' genoemd."
Op basis van de combinatie van geïnstalleerde extensies genereert de website een tracking-hash die kan worden gebruikt om die specifieke browser op internet te volgen.
De onderzoeker legde uit dat zijn Fingerprint-test voor extensies afhankelijk is van bepaalde eigenschappen van browserextensies, die volgens hem aanwezig zijn in meer dan 1100 extensies, waaronder populaire extensies zoals AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, en meer.
Hij gaf toe dat sommige extensies stappen ondernemen om detectie te voorkomen. Hij vond echter een truc om hun gedrag te gebruiken om te bepalen of een van deze beschermde extensies was geïnstalleerd.
In een interview bevestigde z0ccc dat hoewel hij geen gegevens verzamelt over de geïnstalleerde extensies van mensen die zijn website gebruiken, zijn tests hebben aangetoond dat het hebben van 3+ extensies een unieke vingerafdruk zal creëren.
In wezen hebben mensen zonder geïnstalleerde extensies dezelfde vingerafdruk, waardoor ze minder uniek en moeilijk te volgen zijn. Omgekeerd zullen degenen met veel extensies een minder gebruikelijke vingerafdruk hebben, waardoor ze meer vatbaar zijn voor tracking.
Handschoenen zijn uit
In een e-mailgesprek met Lifewire zei Harman Singh, directeur van cybersecurity-serviceprovider Cyphere, dat browservingerafdrukken een bekende techniek is die wordt gebruikt door online reclame- en marketingwebsites over de hele wereld.
Gegevensverzameling is een integraal onderdeel van het online advertentie-ecosysteem, legt Singh uit, en dit type browservingerafdrukken is gewoon een ander mechanisme om hen te helpen gerichte advertenties te tonen.
Bovendien voegde hij eraan toe dat zelfs financiële instellingen zoals banken deze browser-vingerafdrukmethoden gebruiken als onderdeel van hun fraudedetectiemechanismen om te detecteren of hun bezoeker een echte gebruiker is of een kwaadaardige anomalie zoals een bot.
Browser-vingerafdrukken zijn niet illegaal omdat het geen gebruiker identificeert. Het verzamelen van de gegevens wordt echter beheerst door privacywetten zoals de Algemene Verordening Gegevensbescherming (AVG) en de California Consumer Privacy Act (CCPA), toegevoegd Singh.
Sprekend specifiek over z0ccc's Extension Fingerprints-test, legde Kron uit dat hoewel het interessant is vanuit een academisch perspectief, het beperkt lijkt in zijn bruikbaarheid in zijn huidige vorm.
"Bovendien heeft dit in mijn beperkte tests geen algemene extensies in de Edge-browser opgepikt, waardoor dezelfde hash voor Chrome in de incognitomodus wordt geretourneerd, zoals [in] Edge met de LastPass-extensie geïnstalleerd," zei Kroon. "Er zijn andere methoden voor vingerafdrukken die hardware gebruiken, berekeningen gemaakt door de geïnstalleerde grafische kaart, bijvoorbeeld, die iets moeilijker te omzeilen zijn."
Om ons te helpen suggesties te doen voor manieren waarop mensen dergelijke vingerafdrukken van browsers kunnen omzeilen, zei Singh dat een goede plek om te beginnen de Panopticlick-tool is, die inzicht geeft in hoeveel en wat voor soort informatie uw webbrowser aan websites onthult.
Aan de andere kant gelooft Kron dat het altijd een goede gewoonte is om ongebruikte browserextensies te verwijderen of uit te schakelen.
"Voor internetgebruikers is het niet mogelijk om volledige bescherming te hebben tegen dergelijke volgtechnieken, tenzij dit wettelijk verplicht is", meende Singh. "Onze privacyregelgeving heeft veel in te halen."