in

Las GPU se pueden explotar para la toma de huellas dactilares del navegador que invade la privacidad

03Arf4h8pfu25sHXqjSaOpA 1.fit lim.size 1200x630.v1643644458

Confiamos en chips de gráficos de computadora para renderizar juegos, videos e imágenes. Pero también se puede abusar de la misma GPU para rastrear potencialmente la actividad del navegador en la web, según una nueva investigación.

En un nuevo artículo, un equipo de académicos de la Universidad Ben-Gurion de Israel, la Universidad de Lille de Francia y la Universidad de Adelaida de Australia examinan cómo la GPU de una computadora puede actualizar la «toma de huellas dactilares del navegador», una técnica que la industria de la publicidad ya usa para discernir qué sitios visita su computadora. está visitando.

La toma de huellas dactilares aprovecha la forma en que el navegador actual puede exponer muchos detalles menores sobre su computadora en un sitio web, como la versión del software, la resolución de la pantalla, las fuentes, la zona horaria y la dirección IP. Dado que no todas las computadoras tienen la misma configuración, la industria publicitaria puede tomar estos detalles para tomar una huella digital de su PC y rastrear su navegador a medida que se mueve de un sitio a otro.

Sin embargo, la precisión de una huella digital se degradará con el tiempo a medida que la computadora reciba nuevas versiones de software, visite Internet a través de diferentes direcciones IP o cambie la configuración del sistema. Esto llevó al equipo de académicos a preguntarse si la industria publicitaria podría extraer datos del hardware de una computadora para mejorar la longevidad de la huella digital.

El esfuerzo de investigación dio como resultado «DrawnApart», una forma de tomar las huellas dactilares de la computadora de un usuario midiendo las diferencias de minutos entre las unidades de ejecución de una GPU. (BleepingComputer fue el primero en informar sobre el trabajo de investigación).

Cómo funciona la toma de huellas dactilares de la GPU.

“En pocas palabras, para crear una huella digital, DrawnApart genera una secuencia de tareas de representación, cada una dirigida a diferentes UE. Cronometra cada tarea de renderizado, creando un rastro de huella digital”, escribieron los autores del artículo.

Esencialmente, DrawnApart puede generar un puntaje de referencia para la GPU de su computadora para complementar la huella digital existente. El punto de referencia de GPU también se puede usar para identificar máquinas individuales, incluso cuando usan el mismo chip de gráficos. Esto se debe a que «incluso los dispositivos de hardware nominalmente idénticos tienen ligeras diferencias inducidas por su proceso de fabricación», que pueden aparecer en las pruebas de tiempo de renderizado, según la investigación.

Cómo se ve el benchmarking.

Pero lo que hace que la técnica sea particularmente inquietante es cómo se pueden recopilar los datos de la GPU a través de JavaScript sin privilegios que se ejecuta en un sitio web.

Específicamente, DrawnApart aprovecha la Biblioteca de gráficos web o WebGL, una API de JavaScript que se usa en los principales navegadores para representar gráficos 2D y 3D. Se puede abusar de la misma API para medir qué tan rápido la GPU de una computadora completará tareas de renderizado simples, lo que puede ocurrir en el fondo del navegador en menos de unos segundos.

Para probar la técnica, los académicos crearon un complemento del navegador Chrome capaz de ejecutar DrawnApart en una computadora. Luego, el complemento se instaló en 2550 PC y dispositivos móviles creados con una variedad de chips gráficos de Intel, Apple, Nvidia y Samsung.

El experimento encontró que la técnica DrawnApart aumentó el tiempo medio de seguimiento de un método actual de toma de huellas dactilares conocido como FP-Stalker en un 67 % por ciento. Esto significa que la duración de una huella digital puede durar de 17,5 días a 28 días, en lugar de solo 10,5 días.

Recomendado por Nuestros Editores

“Hasta donde sabemos, esta es la primera vez que se utilizan características de hardware para desafiar la privacidad en este contexto”, escribieron los académicos. “Nuestra técnica de toma de huellas dactilares puede distinguir dispositivos que son completamente indistinguibles por los métodos actuales de última generación, sin dejar de ser resistentes a las condiciones ambientales cambiantes”.

Dicho esto, DrawnApart se puede detener bloqueando la ejecución de la API de WebGL cuando no se necesita. Otra opción implica WebGL «agregar un paso de aleatorización» o deshabilitar ciertas «API de temporizador», lo que evitaría que DrawnApart compare con precisión las unidades de ejecución de una GPU.

En respuesta a la posible amenaza a la privacidad, el equipo envió los resultados de su investigación a Intel, Arm, Google, Mozilla y Brave. Además, el grupo Khronos, que determina la especificación WebGL, ha establecido un grupo de estudio para analizar la investigación de huellas dactilares de GPU con las partes interesadas.

Queda por ver si la industria publicitaria intentará explotar las GPU para obtener huellas dactilares reales. Pero mientras tanto, los académicos advierten que una API para reemplazar a WebGL llamada WebGPU corre el riesgo de llevar la toma de huellas dactilares al siguiente nivel, ya que puede explotarse para una evaluación comparativa de GPU más precisa. Las propias pruebas del grupo muestran que WebGPU «entregó una precisión de clasificación casi perfecta del 98 %, mientras que la ejecución tardó solo 150 milisegundos».

“Los efectos de las API de cómputo acelerado en la privacidad del usuario deben considerarse antes de que se habiliten a nivel mundial”, agregaron los académicos. Los autores presentarán sus hallazgos en la conferencia de seguridad NDSS 2022 en abril.

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.

fbq('init', '454758778052139'); fbq('track', "PageView"); } }