Safari 17’nin gelişmiş ses parmak izi korumasını aşmak

 (fingerprint.com)
1 puan yazan GN⁺ 2024-03-11 | 1 yorum | WhatsApp'ta paylaş

Ses yoluyla tanımlama

  • Sesle tanımlama tekniği, tarayıcının ses API’sini kullanarak bir ses sinyali üretir ve ardından bu sinyalden üretilen ses örneklerinin tümünü toplayarak tek bir sayıya dönüştürür.
  • Bu sayı bir parmak izi (tanımlayıcı) olarak kullanılır ve çerezler silinse veya gizli moda geçilse bile değişmeyen bir kararlılığa sahiptir.
  • Ancak tanımlayıcı çok benzersiz değildir; birçok kullanıcı aynı tanımlayıcıya sahip olabilir.

Safari 17 ses parmak izini nasıl bozuyor

  • Safari 17, gelişmiş parmak izi koruması özelliğini kullanıma sundu; bu özellik özel gezinme modunda varsayılan olarak etkin, normal modda ise devre dışıdır.
  • Bu koruma, her ses örneğine rastgele gürültü ekleyerek parmak izinin doğruluğunu düşürür.
  • Sonuç olarak ses parmak izi her hesaplandığında farklı çıkar ve artık tanımlama için kullanılamaz.

Safari 17’nin gelişmiş parmak izi koruması nasıl aşılır

  • Safari’nin eklediği gürültüyü kaldırmak için parmak izi algoritmasını geliştiren üç adım: gürültü varyansını azaltma, tarayıcı tanımlama numaraları arasındaki aralığı büyütme ve kalan gürültüyü temizlemek için parmak izini yuvarlama.
  • Gürültüyü azaltmak için birden çok ses parmak izi birleştirilir ve tarayıcılar arasındaki ses örneği farklarını artırmak için temel sinyal değiştirilir.
  • Sonucu kararlı hâle getirmek için önemli rakamlar korunurken ses örnekleri yuvarlanır.

Performans

  • Yeni parmak izi algoritmasının performansı eski algoritmaya göre yaklaşık 1.5-2 kat daha düşük olsa da, düşük performanslı cihazlarda bile hesaplama süresi hâlâ kısadır.
  • Sayfanın tepkiselliğini korumak için işin bir kısmı OfflineAudioRender iş parçacığında yürütülür.

Gizlilik odaklı tarayıcılarda nasıl çalışıyor

  • Tor ve Brave gibi gizlilik odaklı tarayıcılar da ses parmak izini sınırlamaya çalışır.
  • Tor’da Web Audio API tamamen devre dışıdır; bu nedenle ses parmak izi almak mümkün değildir.
  • Brave, Safari 17’ye benzer bir yaklaşım kullanarak ses sinyaline gürültü ekler.

FingerprintJS’te kullanım

  • Yeni ses parmak izi algoritması, FingerprintJS’te mevcut algoritmanın yerini alır.
  • Ses parmak izi, tarayıcı parmak izi oluşturmak için kullanılan birçok sinyalden biridir ve her sinyalin kararlılığı ile benzersizliği ayrı ayrı analiz edilerek parmak izi doğruluğuna etkisi belirlenir.

GN⁺ görüşü

  • Safari 17’nin ses parmak izini bozma özelliği, Apple’ın kullanıcı gizliliğini güçlendirme çabasını gösteriyor. Bu, kullanıcılara daha güçlü bir mahremiyet sağlayabilir.
  • Ancak FingerprintJS gibi hizmetler bu korumayı aşarak tanımlamayı hâlâ mümkün kılıyor; bu da gizlilik koruması ile güvenlik arasındaki süregelen gerilimi ortaya koyuyor.
  • Bu teknolojinin siber güvenlikte nasıl kullanılabileceğine dair daha fazla tartışmaya ihtiyaç var. Örneğin dolandırıcılığı önlemek ve kullanıcı hesaplarını korumak için kullanılabilir.
  • Benzer işlevler sunan diğer açık kaynak projeler arasında Privacy Badger ve uBlock Origin bulunur; bunlar kullanıcı takibini engellemeye yardımcı olabilir.
  • Bu teknolojiyi kullanırken kullanıcı gizliliği ile web sitelerinin güvenlik gereksinimleri arasında denge kurmak önemlidir. Elde edilen fayda, kullanıcı tanımlamasında daha yüksek doğruluk olabilir; ancak mahremiyet ihlali riski de hesaba katılmalıdır.

İlgili okumalar

1 yorum

 
GN⁺ 2024-03-11
Hacker News yorumu

  • GPU parmak izi tekniği

    • 'DrawnApart' adlı GPU parmak izi tekniği, WebGL kullanarak GPU'nun yürütme birimlerinin sayısını ve hızını ölçen; ayrıca tepe noktası render işleminin tamamlanma süresi, stall fonksiyonu işleme gibi unsurları ölçen bir tekniktir.
    • Kaynak

  • Ses parmak izinin mümkün olması

    • Ses parmak izinin neden mümkün olduğuna dair açıklama talebi.

  • Veri sızıntısını önlemek için gürültü eklemenin etkisizliği

    • Yan kanal saldırılarına yönelik son ilgi göz önüne alındığında, veri sızıntısını önlemek için gürültü eklemek etkili değildir; çünkü daha fazla örnek alınarak gürültü ayıklanabilir.
    • Safari'nin bunu neden eklediğine dair soru işareti.

  • Web Audio API spesifikasyonu ve osilatör anti-aliasing işlemesi

    • Web Audio API spesifikasyonunda osilatörün anti-aliasing işlemesini nasıl yapacağına dair seçimin, parmak izi korumasını aşma başarısının anahtarı gibi göründüğü belirtiliyor.
    • Tarayıcıya veya donanıma göre farklı anti-aliasing yöntemleri seçilebildiği için, bunun tarayıcılar arasında ya da aynı tarayıcı içinde bile deterministik olmayan sonuçlara yol açabileceği ifade ediliyor.
    • Anti-aliasing işini tarayıcıya bırakma tercihinin neden yapıldığının anlaşılmadığı dile getiriliyor.
    • Kaynak

  • Ses API'sinin tarayıcı içi uygulanışına eleştiri

    • Tarayıcıya düğüm grafiği tabanlı bir ses API'si eklemenin mantıksız olduğu görüşü.
    • Yalnızca audio worklet olması gerektiği savunuluyor.

  • Örnekleme gürültüsü ekleme yaklaşımını iyileştirme önerisi

    • Safari'nin her örneğe rastgele gürültü eklemek yerine, zamana göre değişen bir anahtara dayalı gürültü ekleyebileceği öneriliyor.
    • Bu yöntemde gürültü tek bir oturum boyunca sabit kalır, ancak bir saat sonra takip için işe yaramaz hale gelir.

  • JavaScript'i devre dışı bırakmayı tercih eden kullanıcı görüşü

    • JavaScript'i devre dışı bırakarak web'de gezinmeyi tercih eden bir kullanıcının görüşü.

  • Audio API prototipini değiştirerek parmak izini bozma

    • Audio API'nin prototipini değiştirip istenen sonuçları döndürecek hale getirme yöntemi öneriliyor.
    • İstenen taklit parmak izini elde etmenin zor olduğu da kabul ediliyor.

  • Ses işleme parmak izinin temeli

    • Ses işleme parmak izinin donanım/sürücü/OS farklılıklarına mı dayandığı, yoksa sadece tarayıcı yazılımı farklılıklarına mı bağlı olduğu soruluyor.
    • Benzer bir teknik olarak, <canvas> kullanıp grafik aygıtları arasındaki farkları ortaya çıkaran bir yöntemin de bulunduğu belirtiliyor.