Исследователи открыли новый метод снятия отпечатков пальцев, который может отслеживать вас по вашему графическому процессору
Нехватка личного пространства: Конфиденциальность в наши дни кажется редкостью, но при должной осторожности и усилиях можно главным образом скрыть свой цифровой след от гигантских технологических компаний и правительств мира. По крайней мере, так было до сих пор. Исследователи из Франции, Израиля и Австралии объединились, чтобы доказать, что даже самых строгих мер защиты конфиденциальности может быть недостаточно, чтобы закрыть все лазейки в отслеживании. Как оказалось, ваше собственное компьютерное оборудование может в конечном итоге работать против вас.
Исследователи, о которых идет речь, разработали метод идентификации устройства, который они назвали «DrawnApart». Эта стратегия использует традиционную технологию снятия отпечатков пальцев браузера, которая, как правило, устаревает, чем дольше используется отпечаток пальца, и поднимает ситуацию на новый уровень, идентифицируя устройство пользователя на основе «уникальных свойств» его стека графического процессора.
Обычно отпечатки пальцев браузера имеют тенденцию со временем путаться, когда пользователи с одинаковыми устройствами с аналогичным оборудованием заходят на данный веб-сайт. Снятие отпечатков пальцев графического процессора направлено на поиск «небольших различий», вызванных производственным процессом каждой видеокарты; различия, которые не могут быть легко замаскированы или запутаны.
Итак, как DrawnApart работает на более техническом уровне? По словам исследователей, сначала он генерирует «последовательность задач рендеринга», каждая из которых предназначена для разных «исполнительных модулей» на пользовательском графическом процессоре. Результаты этих задач — след отпечатка пальца — затем передаются в сеть машинного обучения, которая преобразует указанный след в «встраивающий вектор». Этот вектор описывает отпечаток пальца и может указать злоумышленнику (лицу или организации, использующему этот метод) на конкретное устройство, которое его сгенерировало.
Рабочие нагрузки DrawnApart генерируются с помощью WebGL, графической библиотеки, отвечающей за рендеринг на бесчисленных веб-сайтах. Рассматриваемые рабочие нагрузки предназначены для выявления самых незначительных различий в энергопотреблении и вычислительной мощности между графическими процессорами. Даже если их производитель и модель идентичны, каждая карта будет обрабатывать рендеринг точек WebGL (объекты с одной вершиной) и обрабатывать функции остановки немного по-разному. Вы можете увидеть пример этих небольших различий на изображении трассировки ниже, которое сравнивает, казалось бы, идентичные графические процессоры.
Исследователи использовали DrawnApart для сбора 50 трассировок с обоих устройств, каждая из которых состояла из «176 измерений по 16 точкам». Затем эти измерения объединяются в 16 групп по 11, и каждая группа «останавливается» в разных точках. Время, которое требуется графическому процессору для рендеринга каждой точки, отображается с использованием цветового градиента в диапазоне от чисто белого до темно-синего, причем первый представляет более быстрый рендеринг (почти 0 мс), а второй — более медленный (до 90 мс). Красные полосы, которые вы видите на изображении выше, используются только для разделения групп, поэтому они остаются одинаковыми для обеих трасс.
Как видите, между этими двумя трассировками есть явные различия. Исследователи отмечают, что немного этих вариаций следует ожидать, поскольку даже одно и то же устройство не всегда будет работать одинаково. Однако, несмотря на это, команда считает, что эти следы показывают достаточно четкие шаблоны, чтобы позволить им различать две одинаковые карты. Естественно, такой уровень детализации позволяет проводить высокоточное снятие отпечатков пальцев, которое позволяет отслеживать пользователей в течение гораздо большего периода времени, чем традиционные методы. В сочетании с «современным» алгоритмом отслеживания, как сообщает Bleeping Computer, Drawn Apart увеличивает продолжительность времени, в течение которого можно отслеживать цель, до 67 процентов (28 дней по сравнению со средним показателем в 17,5 дней).
Итак… Зачем вообще проводить это исследование? Если эти исследователи так озабочены конфиденциальностью пользователей, как они утверждают, то зачем давать рекламодателям и другим злоумышленникам, так сказать, ключи от королевства? Команда надеется, что, выявив эти потенциальные лазейки в конфиденциальности, люди, стоящие за графическими библиотеками, такими как WebGL или будущий API WebGPU, рассмотрят последствия, которые их технология может иметь для конфиденциальности пользователей, и создадут меры безопасности раньше, чем позже.
В любом случае, это исследование интересно и вызывает серьезные опасения по поводу будущего веб-конфиденциальности. Мы с нетерпением ждем возможности увидеть, что из этого выйдет в будущем, к лучшему или к худшему.
Пишу о технологиях, науке и кино!
