Google Chrome ekstenzije se mogu koristiti za praćenje korisnika

Vesti, 23.06.2022, 09:30 AM

Programer „z0ccc“ napravio je veb sajt (https://z0ccc.github.io/extension-fingerprints/) dizajniran da generiše „otisak prsta“ uređaja na osnovu ekstenzija za Google Chrome instaliranih u pregledaču posetilaca.

z0ccc je rekao da iako njegov veb sajt ne čuva ove identifikatore uređaja, testiranje pokazuje da bi ove informacije potencijalno mogli da koriste zlonamerni akteri za praćenje korisnika. Njegov sajt skenira više od 1000 ekstenzija i pokazuje procenat korisnika koji dele iste ekstenzije.

„Otisak prsta“ pregledača je moćan metod koji veb sajtovi koriste za prikupljanje informacija o pregledaču i verziji pregledača, kao i o vašem operativnom sistemu, aktivnim dodacima, vremenskoj zoni, jeziku, rezoluciji ekrana i raznim drugim aktivnim podešavanjima”, napisao je z0ccc u postu objavljenom na GitHubu, dodajući da ovi podaci mogu izgledati generički ali da je mala šansa da drugi korisnik ima identične informacije.

Veb sajtovi koriste ove informacije koje veb pregledači pružaju da bi identifikovali jedinstvene korisnike i pratili njihovo ponašanje na mreži. Ovaj se proces stoga naziva „otisak prsta u pregledaču“.

Sa tehničkog stanovišta, ovo uzimanje otiska prsta je moguće zbog funkcije ekstenzija Chromea koja omogućava preuzimanje njihovih „resursa dostupnih na vebu“ za veb stranice i druge ekstenzije. Ovo su fajlovi unutar ekstenzije kojima mogu pristupiti veb stranice zahvaljujući mogućnosti da autori ekstenzija odrede koji su resursi dostupni.

Resursi dostupni na vebu mogu se stoga koristiti za proveru instaliranih ekstenzija i generisanje otiska prsta korisnika koji posećuje sajt na osnovu kombinacije instaliranih ekstenzija.

Kako je objasnio z0ccc, neke ekstenzije generišu tajni token potreban za pristup njihovim dostupnim resursima na vebu. Tajni token sprečava otkrivanje, ali iako je mnogo teže otkriti ove zaštićene ekstenzije, to je ipak moguće. Za preuzimanje resursa zaštićenih ekstenzija biće potrebno više vremena nego za one koje nisu instalirane. Upoređivanjem vremenskih razlika, može se tačno utvrditi da li su zaštićene ekstenzije instalirane.

Istraživač je rekao da ovaj metod ne radi na Firefoxu jer su ID ekstenzija jedinstveni za svaki veb pregledač.

Tehnika bi, s druge strane, trebalo da radi na Microsoft Edge ekstenzijama, rekao je z0ccc, ali ne sa njegovim alatom, koji detektuje samo ekstenzije iz Chrome veb prodavnice.

Photo by Berendey_Ivanov / Andrey_Kobysnyn from Pexels