Аудио фингерпринтинг. Плотнее забиваем крышку гроба личной жизни

Аудио фингерпринтинг. Плотнее забиваем крышку гроба личной жизни

Конфиденциальность умерла и уже давно. Современные методы отслеживания пользователей продвигаются все дальше. Вот одна из современных технологий, называется Аудио фингерпринтинг. Страшное название, но суть простая: при заходе на сайт, система анализирует аудио подсистему вашего браузера и делает аудио фингерпринт. Такой отпечаток является уникальным. По нему вас можно вычислить, когда вы зайдете на другой сайт.

Система он-лайн отслеживания, используемая для того, чтобы предложить пользователям подходящие им товары, в будущем может оказаться более коварной, а новые технологии слежения, такие как, например, аудио фингерпринтинг, — будут всего лишь вершиной айсберга.

Недавнее исследование, названное "Он-лайн отслеживание: определение и анализ 1 миллиона сайтов", проведенное специалистами Принстонского Университета, выявило, что Гугл отслеживает 80% всех пользователей, посещающих сайты, входящие в число первого миллиона доменов. Как это происходит? Гугл использует разнообразные технологии отслеживания и идентификации с одной лишь целью: манипулировать вами. В самом начале это делалось для того, чтобы продать вам тот или иной товар. В будущем речь будет идти о более тонкой и коварной манипуляции пользователями.

На протяжении нескольких лет мы видели последовательность развития технологий, суммарно называемых "фингерпринтингом" и используемых для отслеживания действий интернет пользователей. HTTP "куки" стали первым подобным способом (а 1994 год — первым годом их внедрения в веб-браузеры). Это произошло еще до появления компании Google. После этого между различными организациями развернулось настоящее соревнование по эффективному отслеживанию пользователей. С каждым разом технологии выходят на новый и более высокий уровень точности и аккуратности.

В 2005 году были изобретены Зомби-куки (Zombie cookies), от которых невероятно сложно избавиться. За ними в 2010 году последовали Evercookie, приложение JavaScript, которое практически невозможно удалить. В 2014 году был разработан способ отслеживания HTML5 canvas fingerprinting («выявление характерных особенностей структуры изображения»), который основывается на уникальных характеристиках взаимодействия вашего компьютера с графической подсистемой.

Вместе с этими активными технологиями всегда существовал пассивный способ фингерпринтинга, основанный на различных атрибутах: определение конфигурации TCP/IP, получение информации об операционной системе, настройки IEEE 802.11 (беспроводной) и изменение данных аппаратных часов. Сайт Panopticlick, созданный компанией Electronic Frontier Foundation, служит отличным примером того, сколько информации может быть собрано посредством активного и пассивного способов отслеживания.

Оценив мой браузер, сайт Panopticlick сообщил, что фингерпринтинг выглядит уникальным относительно всех проведенных проверок (всего 135 923). Кроме того, был получен следующий комментарий: "Мы оценили ваш браузер и выявили 17.05 бит идентифицирующей информации". На первый взгляд, такое количество информации совсем немного, но этого вполне достаточно, чтобы довольно подробно отслеживать мои действия в сети. Сейчас имеется новая технология, еще не используемая сервисом Panopticlick, которая, как ожидается, получит широкое распространение и повысит уровень точности в процессе он-лайн отслеживания пользователей. Она называется "аудио фингерпринтинг".

Аудио фингерпринтинг основывается на проверке аудио подсистемы вашего браузера при помощи AudioContext API. Консорциум Всемирной Паутины (World Wide Web Consortium) дает следующее определение API:

" высокоуровневый JavaScript API для обработки и синтезирования аудио в веб-приложениях. Главный принцип заключается в наличии аудио графика, в котором объединен ряд AudioNode объектов для визуализации характеристик воспроизведения. Предполагается, что основная обработка будет производиться в базовой реализации (оптимизированный Assembly / C / C++ code), но также поддерживается прямая обработка и синтез в JavaScript".

Организации, применяющие этот способ отслеживания, посылают низкочастотные звуки в браузер пользователя и оценивают обработку аудио данных. Такая процедура создает фингерпринт, зависящий от параметров системы и конфигураций программного обеспечения. Он позволяет отличать пользователей друг от друга. Другими словами, интерфейс производит измерение, которое получает достаточное количество битов идентифицирующей информации для фингерпринтинга.

Насколько это действенно? Страница сервиса Princeton, обеспечивающая проверку AudioContext Fingerprint и использующая JavaScript, CSS и методы распознавания шрифтов из библиотеки fingerprintjs2, дает следующее объяснение:

"Эта страница тестирует фингерпринты браузера с использованием AudioContext и Canvas API. Применение AudioContext API для фингерпринтинга не связано со сбором звуков, проигрываемых или записываемых на компьютере. AudioContext фингерпринт — это само содержимое аудио стека. Вы хотите увидеть фингерпринты своего компьютера, то мы проведем их сбор вместе со случайно выбранными идентификаторами, IP адресом, User-Agent и будем хранить в частной базе данных для анализа эффективности данной технологии. Мы обязуемся не распространять полученные данные. В вашем браузере будут установлены куки для содействия анализу. Мы также задействуем в нашем исследовании Flash фингерпринты, если на компьютере задействован Flash плагин".

Очевидно, технология еще не так широко распространена, но можно с уверенностью сказать, что это произойдет в скором будущем.

Так будет ли этому когда-нибудь конец? Сможем ли мы однажды достичь настоящей конфиденциальности при работе он-лайн? 99,99% интернет пользователей с уверенностью ответят "нет" на этот вопрос, и большинству из них, в действительности, это вовсе безразлично. Конечно, они ненавидят навязчивую рекламу и будут жаловаться относительно недостатка приватности, но чего они уж точно никогда не узнают, так это то, насколько "курируется" их личный взгляд на жизнь.

Если крупные корпорации знают, кто вы и какие сайты посещаете, то они могут проанализировать ваше поведение с помощью статистики и программного обеспечения, использующего искусственный интеллект, и выяснить, чем вы интересуетесь, и что влияет на ваши решения. В 100% случаях эти данные будут использованы и в коммерческих, и в политических целях. Вы же едва ли заметите, насколько вами манипулируют.

Итак, вот что ждет вас в будущем: вам не нужно будет каким-то особенным образом приветствовать своих повелителей, но при этом вы будете с радостью делать то, чего они от вас хотят, потому что будете убеждены, что это ваши личные желания. Вы даже не будете знать, что кто-то уже повелевает вами.

The shocking truth of how you’ll be tracked online and why



Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации