Група вчених із Франції, Ізраїлю та Австралії опублікувала дослідницьку роботу «Drawn Apart: A Device Identification Technique based on Remote GPU Fingerprinting». У ній описаний метод ідентифікації користувачів на основі унікальних параметрів браузера, що згенеровані графічними процесорами (відбиток «пальця» GPU).
Методика була перевірена у великомасштабних експериментах за участю двох з половиною тисяч пристроїв із приблизно 1600 різними GPU. Поточний підхід заснований на API WebGL 2.0 та вимагає не менше 8 секунд для отримання відбитка графічного процесора. У перспективі нові API обмежать час розпізнавання до 150 мс та підвищать точність до 98%.
Виявлений ефект викликаний мікроскопічними відмінностями у температурних режимах, енергоспоживання та інших показниках окремих екземплярів чипів унаслідок неоднорідності виробництва мікросхем. При виконанні однакового коду GPU демонструють різну поведінку навіть у рамках однієї моделі. Глобально проблема стосується CPU чи інших чіпів.
Drawn Apart належать до пасивних методів відстеження та не вимагає застосування Cookies або збереження ідентифікатора на системі користувача. Дослідники підтвердили, що видалення та заміна апаратних комплектуючих ПК не вплине на класифікатор, який використовується для визначення GPU.
Наприклад, вчені взяли два комп'ютери на основі процесорів Intel Core 3-го покоління (Ivy Bridge) без дискретної відеокарти. Усі обчислення робилися на вбудованому графічному ядрі. Потім фізично поміняли місцями їх жорсткі диски й повторно запустили класифікатор GPU, який не був введений в оману перестановкою.
У другій частині експерименту жорсткі диски повернули на колишні місця та фізично поміняли місцями процесори. Як і очікувалося, «відбиток пальця» слідував за своїм процесором, хоча решта обладнання змінилася.
Повідомляється, що такі компанії як Intel, ARM, Google, Khronos, Mozilla, Brave та інші були повідомлені про метод ще у 2020 році, але деталі для широкої аудиторії розкрито тільки зараз.
Джерело:
Arxiv