Тип процессора, IP-адрес, используемый браузер, установленные шрифты — собирая эти и другие характеристики настроек браузера и базовой операционной системы, можно создать очень подробный и, в некоторых случаях, даже уникальный профиль пользователей. Это явление известно как отпечаток браузера.

Исследование , проведенное исследователем CISPA Леоном Трампертом и его коллегами, теперь показывает, что этот метод отслеживания можно применять не только при просмотре веб-страниц, но и в электронных письмах, используя ранее недостаточно изученный метод: использование CSS (каскадных таблиц стилей), разметки для проектирования веб-сайтов.

Даже среди большой группы посетителей веб-сайта вы, скорее всего, будете уникально идентифицированы. Почему? Везде, где используется язык программирования JavaScript — а это практически весь веб — также могут быть собраны определенные атрибуты ваших устройств и их настройки. Эти данные в первую очередь предназначены для того, чтобы помочь веб-разработчикам создавать лучшие пользовательские интерфейсы и функции.

Но, как всегда, знание — сила, и не все хотят, чтобы эти знания о них стали достоянием мира.

«В настоящее время снятие отпечатков пальцев с помощью JavaScript довольно хорошо известно. Люди, особенно обеспокоенные конфиденциальностью, могут защитить себя, заблокировав JavaScript. Это можно сделать либо с помощью плагинов, либо с помощью браузера Tor. Например, это может быть полезно для журналистов, опасающихся преследований», — объясняет Леон Трамперт.

Современные CSS допускают утечку данных

Где одна дверь закрывается, открывается другая — и то же самое, похоже, относится и к дактилоскопии. «Недавно исследователи обнаружили, что информация о пользователях может также просачиваться через использование CSS», — говорит Трамперт. CSS (сокращение от каскадных таблиц стилей) обеспечивает правильное отображение текста, изображений и меню, определяет шрифты, цвета и размеры элементов на веб-сайтах и ​​позволяет представлениям адаптироваться к различным размерам экрана.

«CSS становится все более популярным и в последние годы приобретает множество новых функций. Некоторые из них уже были проанализированы коллегами-исследователями на предмет их потенциального нарушения конфиденциальности. Однако целостный обзор все ещё отсутствует».

Итак, несколько месяцев назад Трамперт решил систематически изучать современные функции CSS. «Мы хотели посмотреть, как много мы можем раскрыть с его помощью и позволяет ли CSS отслеживать и за пределами сети».

Шрифты-подсказки

Трамперт рассмотрел несколько подходов к созданию отпечатков пальцев и выделил три метода создания отпечатков пальцев пользователей с помощью CSS.

«Мы изначально проанализировали 1176 комбинаций браузеров и операционных систем с различными настройками и смогли сделать вывод о системах пользователей в 97,95% случаев. Например, установленные шрифты могут быть показательными. Они дают подсказки о браузере, операционной системе и установленных программах», — объясняет Трамперт.

Исследователи идентифицировали шрифты с помощью нескольких трюков. «Мы не можем увидеть эту информацию в простом тексте, но мы можем, например, измерить высоту и ширину слов, используя некоторые полезные функции CSS. Из этого мы можем вывести не только шрифт, но и язык системы», — говорит Трамперт.

CSS позволяет отслеживать за пределами Интернета

Ещё более захватывающим для него было тестирование приложений электронной почты . В то время как JavaScript часто блокируется по умолчанию во многих почтовых клиентах, использование CSS остается в значительной степени неограниченным.

«Мы протестировали 21 почтовый клиент, включая Android, iOS, настольные и веб-клиенты. В девяти случаях нам удалось успешно применить все наши методы и собрать информацию о пользователях. Восемнадцать из 21 почтового клиента были уязвимы по крайней мере к одному из методов», — объясняет Трамперт.

По словам Трамперта, это может открыть совершенно новые сценарии угроз. «Например, атаки могут быть направлены на то, чтобы связать веб-сеансы посетителей с их учётными записями электронной почты или идентифицировать все адреса электронной почты определенных пользователей», — объясняет он.

Что теперь?

Любой пользователь Интернета уже подвергается непреднамеренной оценке с помощью отслеживающих файлов cookie и JavaScript.

«Тем не менее, важно продемонстрировать, какие технические возможности существуют и где возникают новые возможности для злоупотреблений — как это видно здесь, внезапно даже в программах электронной почты. Только тогда мы сможем разработать надёжные механизмы защиты», — говорит Трамперт.

Аспирант проводит исследования в CISPA под руководством преподавателей CISPA д-ра Михаэля Шварца и проф. д-ра Кристиана Россова и намерен продолжить работу над проблемами безопасности электронной почты в будущем.

Ведёт расследования о коррупции в любых эшелонах власти