最近有人發現,Chrome以及Edge用戶安裝的擴展插件可以用於生成獨特的“指紋”,配合其他數據諸如GPU性能表現、已安網的Windows應用、屏幕分辨率、硬件配置甚至已安裝的字體等,可以用於準確追蹤用戶在在線瀏覽的痕迹。
一位網名為“zoccc”的網頁開發者製作了一個名為“Extension Fingerprints”的網頁,這個網頁就是基於追蹤用戶安裝的插件設計而成。裡面包括了1000多種常見及熱門的Chrome插件,用戶只需要點擊進去,網頁就可以自動推算出用戶安裝了哪些插件,並且同時算出有多少訪問過這網頁的用戶是安裝了同樣的插件。
這裡要先說明一下網頁一般是怎樣得知用戶裝了哪些Chrome擴展插件。當開發者開發出一款Chrome擴展插件時,他們可以申明哪些資產是屬於“web accessible resources”,而這些申明了的資產是可以被其他網頁或者插件訪問。早在2019年就有人發現,可以利用這些“web accessible resources”來檢查用戶安裝了哪些Chrome插件,並且以此來生成用戶的指紋。zoccc表示,有的插件為了防止被偵測出來,會秘密加入一個憑證,其他插件或網頁想要訪問這些“web accessible resources”就需要先有這個憑證。不過研究人員之後就發現,加入了秘密憑證的插件,比起沒有加入的插件,訪問“web accessible resources”的時間要更長。因此只需要對比一下兩者的時間差異,就可以得知用戶有沒有安裝這些插件。
在與BleepingComputer的溝通中zoccc也表示,安裝了3個或以上的Chrome插件就已經可以讓用戶生成獨一無二的插件指紋。如果把這些插件紀錄與其他用戶數據例如時區或者代理一起使用,就可以非常容易地分辨出用戶,而Edge的插件也可以用同樣的方法來檢測出來。
筆者也點開了這個網頁,裡面顯示只有0.004%用戶是與我有同樣的插件。當然,隨着訪問這個頁面的人數增加,那這個比例也會有所升高,不過即便是0.01%也算是可以很準確的辨認出不同用戶。因此,筆者建議大家還是盡量少安裝插件,只安裝對於自己真正有用的插件就好,或者乾脆換用Firefox,因為Firefox插件在每個瀏覽實例上的ID都不一樣