普林斯顿大学研究者发起的在线追踪器研究发现音频指纹识别追踪技术 隐私问题大概是网络上最具争议的话题之一,人们无数次讨论如何保护在线匿名用户以及执法机构与情报机构为了网络用户实名化都进行了哪些攻击。 许多用户认为仅靠禁止脚本和广告足以避免被追踪,但事实并非如此。一些网站可以根据HTML Canvass API以及WebRTC本地IP发现机制通过指纹识别技术监控并追踪用户。 目前我们将讨论一种新的网络追踪技术,即音频指纹识别。 音频指纹识别追踪技术是广告业以及执法机构使用的有效解决方案,其可以让VPN网络用户实名化,而不必解密流量。 通过研究数个谷歌域名,普林斯顿大学研究人员发现该公司利用多种追踪与识别技术追踪排名前100万名域名上近80%的用户。 研究人员在报纸发布文章表示,“我们对每个网站进行了15种测验,包括有状态(基于cookie)以及无状态(基于指纹指纹)追踪、浏览器隐私工具作用以及不同网站(“cookie同步)之间的追踪数据交换,结果我们发现多个复杂的指纹识别技术先前从未被测试过"。 这些追踪方法中包括音频指纹识别技术,即通过使用AudioContext API凭借堆叠器进行追踪。研究人员发现可以取得每台使用AudioContext API机器的音频信号,显示独立浏览器与设备关联。 该技术行之有效。第三方追踪器可以使用AudioContext API向用户机器发送低频声音,然后测试数据处理过程,以创建独一无二的指纹。 研究人员表示,“视频广告公司Liverail的脚本会检查是否存在AudioContext以及OscillatorNode,以把一位数据增加到大片指纹。许多复杂的脚本通过OscillatorNode处理音频信号采集设备指纹。”“这项技术从概念上讲与canvas指纹识别技术类似。在不同机器或浏览器上处理的音频信号也许存在细微差别,因为机器硬件与软件存在差异;但如果机器与浏览器一致,其结果相同。” 研究人员还发布了该技术的现场演示,向使用AudioContext API的指纹用户进行展示。 幸运的是,音频指纹识别技术还未普及。 研究人员利用开源工具OpenWPM进行测试,即利用数个高级功能,包括使用指定凭证登录网站。该工具通过普通浏览器(比如Chrome,Firefox以及IE)在每个页面跟踪加载收集数据。 研究人员的此项工作弥足珍贵,此类研究将帮助隐私捍卫者反对追踪技术扩散。 E安全/文 转载请注明E安全 E安全——全球网络安全新传媒 |
|