A BME szakemberei új technikát mutattak be, ami a hirdetők és a webes profilírozók új – vitatható – eszköze lehet a felhasználók tevékenységének nyomon követésére.

A fiatal kutatók demonstrálták, hogy az ujjlenyomat-teszt több böngészőben is képes volt azonosítani a számítógépet - a privát böngészés módban is.

A kutatás célja nem a nyomkövetők segítése, hanem a nagyközönség figyelmének felhívása az újszerű, többnyire ismeretlen problémára, illetve a módszer működőképességének tudományos igazolása. További célja a kutatásnak az, hogy felhívja a böngészők gyártóinak figyelmét erre a biztonsági résre, illetve arra, milyen könnyen sérülhet a magánszféra.

A kutatók nem elégedtek meg a veszélyek ismertetésével, egyúttal egy új koncepción alapuló „anti-ujjlenyomat”-technikát, azaz védekezési megoldást is bemutattak. Azt is demonstrálták, hogy ha a böngésző alkalmazások nem engedélyeznék az ujjlenyomatokhoz szükséges információk lekérdezését, a böngészési élmény akkor sem csorbulna.

A projekt honlapján bárki kipróbálhatja az ujjlenyomat-tesztet saját számítógépén, és ugyanitt a védekezési alkalmazás hamarosan letölthető lesz.

Webes nyomkövetés és ujjlenyomatok

A weboldalaknak elemi – pontosabban üzleti – érdeke, hogy látogatóikat azonosítsák és tevékenységüket kövessék, például számokkal történő azonosítással. Az azonosítókat eddig leginkább az ún. sütikben tárolták a látogató gépén, de a felhasználók tudatosságának növekedése és az Európai Unió 2009-es ún. „süti-irányelv” szabályozása következtében ez egyre nehezebbé válik (ennek értelmében a felhasználói hozzájárulás nélkül beállított cookie-k törvénysértőek). Ezért a webes üzleti szféra szereplői már elkezdték keresni az újabb lehetőségeket, ilyenek például az ún. ujjlenyomat alapú követési technikák, melyeknek már nyilvánosan hirdetett kereskedelmi alkalmazására is van példa 2012. januárja óta. E módszerek lényege, hogy a látogatóhoz egy ujjlenyomatot rendelnek számítógépes rendszerének főbb jellemzői, mint például a képernyőfelbontás, időzóna, vagy az elérhető betűtípusok alapján.

Panopticlick

Az első nagyszabású ujjlenyomat kísérlet a Panopticlick  volt. Ez a kísérlet azt vizsgálta, hogy a látogató böngészője egyedi-e egy kellően nagy adatbázisban az azt leíró információk alapján. Ez a kísérlet inspirálta a Nemzetközi PET Portál és Blog kutatóit, hogy a Rendszerujjlenyomat kísérletben megvizsgálják, hogy az ujjlenyomat-információk segítségével böngésző- és plugin-független módon is azonosíthatóak-e a felhasználók. Ez azt jelenti, hogy függetlenül a Java vagy Flash elérhetőségétől, ugyanúgy azonosítani lehet a felhasználó számítógépét, bármelyik böngészővel is látogat el egy oldalra. A kísérlet során majdnem 1000 ujjlenyomat gyűlt össze, amivel sikerült igazolni az egyik fő alapelvet: a felhasználókat – legalábbis ilyen számosság mellett – böngészőfüggetlen módon, egyedileg azonosítja a feltelepített betűkészletek jelenléte Windows és OS X rendszerek alatt. Azonban kevés olyan ujjlenyomat volt, amelyek egy felhasználó, különböző böngészőben lefuttatott tesztje alapján jöttek létre, és ez indokolta az új teszt elindítását.

Böngészőfüggetlen ujjlenyomat-teszt 2.0

Az új teszt alapelve változatlan, és fő információforrásának jelenleg is a számítógépre telepített betűkészleteket tekinti, amelyet plugin-független módon ellenőriz, csak JavaScript alkalmazásával. A betűkészlet egyediségét prózai okokra lehet visszavezetni: ahogyan számítógépünkre feltelepített programok garmadája is egyedi konstellációt alkot, úgy az elérhető betűkészletek is, hiszen ezek listáját legtöbbször a feltelepített programok bővítik. Emellett további információforrásokat is használ az új ujjlenyomat, mint például a képernyőfelbontás, vagy az időzóna, de a betűkészlet mellett szintén az egyik alapvető információforrás lehet a böngészőkre telepített kiegészítők (pluginok) listája - bár az új kísérlet ezt nem használja.

Panopticlick

Az új ujjlenyomat fő előnye a tárolási elven működő technikákkal szemben, hogy nem igényel adattárolást, és privát böngészési módban is működik, sőt, akár kifejezetten a követés ellenszereként bevetett anonim böngészőkben is. A tesztet az érdeklődők is elvégezhetik saját számítógépükön a kísérlet hivatalos weboldalán, amelynek célja kettős: egyrészt az érdeklődők meggyőződhetnek a probléma valódiságáról, másrészt az ennek során generált ujjlenyomatok a további vizsgálatok sikeréhez járulnak hozzá.

A FireGloves nem hagy nyomot

Létezik alkalmazás, amelynek segítségével az ujjlenyomat-készítés nehezebbé válik, de a böngészési élmény nem csorbul. Az alkalmazás egy Firefox plugin, amely lehetővé teszi a felhasználóknak, hogy befolyásolhassák a számítógépükről lekérdezett (az ujjlenyomatoknál használt) információk tartalmát, azaz például meghatározhatják, hogy a weboldalak mindig egy adott ál-felbontás értéket detektáljanak, vagy pedig minden lekérdezésnél véletlen értékeket kapjanak. Az új kiegészítő alkalmazása mellett az ACID3 teszt is sikeresen lefutott, amely kifejezetten a webböngészők ilyen jellegű funkcionalitásának tesztelésére szolgál.

Az új kiegészítő és privát böngészési mód együttes használata mellett a Panopticlick nem tudott információt lekérdezni, és például a véletlen adatokat közlő random mód esetén a böngészőfüggetlen ujjlenyomat tesztnél lekérdezésenként eltérő ujjlenyomat készült. A szakemberek hangsúlyozták, hogy a FireGloves csak a nyomkövetés egy aspektusa ellen nyújt védelmet, és így a teljes értékű védekezéshez több kiegészítő párhuzamos használata ajánlott.

Az új fejlesztésű kiegészítő ugyan átmenetileg védelmet ad az ujjlenyomat technikákkal szemben, azonban a FireGloves célja ezen túlmutat: a BME kutatói szeretnék elérni, hogy a böngészőgyártók is felfigyeljenek a problémára, és a böngészőkből eltávolítsák azokat a funkciókat, amelyek normális működését a FireGloves is befolyásolja, így hosszú távon is megoldást nyújtva a problémára. 

A jelenség mögött álló folyamatokat Székely Iván, az Elektronikai Technológia Tanszék docense ismertette, majd Gulyás Gábor, a Híradástechnikai Tanszék (HIT) óraadója mutatta be a webes nyomkövetési technikák működését.