當第三方服務收集各種人的信息,並利用這些信息幫助在其他在線用戶的海洋中識別他們時,就會發生對用戶的在線追蹤。這種對特定信息的收集通常被稱為”指紋”,攻擊者通常利用它來獲取用戶的信息。今天,研究人員宣布,他們成功地利用WebGL(網絡圖形庫)的優勢,為每一顆GPU創建了一個獨特的指紋,以此追蹤在線用戶。
這個漏洞之所以有效,是因為每塊硅片在製造時都有自己的變化和獨特的特徵,就像每個人都有一個獨特的指紋一樣。即使在確切的處理器型號中,硅料的差異也使每個產品與眾不同,這就是為什麼你不能將每一枚處理器超頻到相同的頻率,所謂芯片“體質”存在差異的原因。
如果有人能精確地探索GPU的差異,並利用這些差異通過這些特徵來識別在線用戶,會發生什麼?這正是創建DrawnApart的研究人員所想到的。使用WebGL,他們運行了一個GPU工作負載,在16個數據收集處識別了超過176個測量值。這是在GLSL(OpenGL着色語言)中使用頂點操作完成的,工作負載被阻止在處理單元的網絡上隨機分佈。
DrawnApart可以測量和記錄完成頂點渲染的時間,記錄渲染的確切路線,處理停滯功能,以及更多。這使得該框架能夠發出獨特的數據組合,變成GPU的指紋,可以在線利用。在下面的圖中你可以看到兩個GPU(相同型號)的數據跟蹤記錄,從中可以顯示出變化。
WebGL API的創造者Khronos Group已經成立了一個工作小組來處理這種情況,並防止API泄露過多的信息來在線追蹤用戶。如果你想了解更多關於這項技術的信息,你可以在ArXiv上閱讀更多細節:
https://arxiv.org/pdf/2201.09956.pdf