Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Browser fingerprinting to technika identyfikacji użytkownika na podstawie zestawu cech przeglądarki, urządzenia oraz środowiska uruchomieniowego. W praktyce pozwala ona tworzyć trwały profil sesji nawet wtedy, gdy użytkownik ogranicza pliki cookie lub korzysta z mechanizmów zwiększających prywatność. W sprawie określanej jako „BrowserGate” LinkedIn został powiązany z mechanizmami telemetrycznymi, które miały obejmować zarówno fingerprinting urządzenia, jak i wykrywanie zainstalowanych rozszerzeń przeglądarki.
W skrócie
Opisany przypadek dotyczy zarzutów, zgodnie z którymi kod wykonywany w serwisie LinkedIn zbierał szeroki zestaw informacji o środowisku użytkownika. Według analizy obejmowało to aktywne sondowanie rozszerzeń w przeglądarkach opartych na Chromium, pasywne skanowanie drzewa DOM pod kątem śladów dodatków oraz gromadzenie licznych parametrów urządzenia i przeglądarki.
- Aktywne wykrywanie rozszerzeń przez odwołania do zasobów dodatków
- Pasywne skanowanie DOM w poszukiwaniu artefaktów rozszerzeń
- Rozbudowany fingerprinting przeglądarki i urządzenia
- Szyfrowanie ładunku telemetrycznego przed wysyłką
- Wykorzystanie komponentów powiązanych z ochroną aplikacji i antyfraudem
Kontekst / historia
Sprawa wpisuje się w szerszy konflikt między potrzebą ochrony platform przed botami, przejęciami kont i nadużyciami a oczekiwaniami użytkowników dotyczącymi prywatności. Duże platformy internetowe od lat rozwijają systemy oceny ryzyka logowania, wykrywania automatyzacji i analizy zachowań, jednak granica między uzasadnioną ochroną usługi a nadmierną telemetrią pozostaje bardzo cienka.
W opublikowanych analizach wskazano, że badany kod JavaScript działał jako część większego pakietu aplikacyjnego i realizował kilka współpracujących funkcji jednocześnie. Szczególne kontrowersje wzbudziła skala listy identyfikatorów rozszerzeń, które miały być sprawdzane przez mechanizm detekcji. Może to sugerować, że nie chodziło o incydentalny eksperyment, lecz o rozwijany komponent infrastruktury telemetrycznej lub antyfraudowej.
Analiza techniczna
Z technicznego punktu widzenia sprawa obejmuje trzy główne obszary działania. Pierwszym z nich jest aktywne wykrywanie rozszerzeń w środowiskach opartych na Chromium. Mechanizm miał wykorzystywać odwołania do zasobów dostępnych pod schematem chrome-extension://. Jeżeli konkretne rozszerzenie było zainstalowane i udostępniało określony zasób jako publicznie dostępny, możliwe było pośrednie ustalenie jego obecności bez użycia podatności przeglądarki.
Drugim obszarem było pasywne skanowanie DOM. Niektóre rozszerzenia modyfikują treść stron poprzez wstrzykiwanie elementów, skryptów lub atrybutów. Jeżeli takie artefakty zawierają odniesienia do schematu rozszerzeń, skaner może zidentyfikować obecność dodatku wyłącznie na podstawie skutków jego działania w dokumencie.
Trzecim obszarem był fingerprinting urządzenia i przeglądarki. Według opisu zbierane miały być między innymi dane z WebRTC, informacje o urządzeniach audio i wideo, liczba rdzeni CPU, ilość pamięci RAM, charakterystyki Canvas, WebGL i AudioContext, zestaw fontów, parametry sieciowe oraz sygnały związane z trybem incognito, automatyzacją lub ustawieniem Do Not Track. Każdy z tych elementów osobno nie musi być szczególnie wrażliwy, lecz ich połączenie znacząco zwiększa potencjał identyfikacyjny.
Istotnym elementem architektury miało być także szyfrowanie ładunku telemetrycznego kluczem publicznym przed wysyłką do backendu. Taki model utrudnia analizę przesyłanych danych przez użytkownika i zewnętrznych badaczy. Dodatkowo opisywano wykorzystanie ukrytych iframe’ów oraz ładowanie skryptów odpowiedzialnych za ocenę ryzyka i walidację ruchu, co przypomina rozbudowany stos antyfraudowy.
Konsekwencje / ryzyko
Ryzyko związane z takimi mechanizmami ma kilka wymiarów. Po pierwsze, wykrywanie rozszerzeń może ujawniać informacje znacznie wykraczające poza zwykłe dane techniczne. Zestaw dodatków bywa pośrednim wskaźnikiem zawodu, zainteresowań, sposobu pracy, aktywności rekrutacyjnej, a nawet używanych narzędzi firmowych i ochronnych.
Po drugie, rozbudowany fingerprinting utrudnia zachowanie anonimowości i zwiększa zdolność do korelowania aktywności użytkownika między sesjami. Nawet przy rotacji identyfikatorów sesyjnych stabilny odcisk urządzenia może wspierać długoterminowe profilowanie.
Po trzecie, stosowanie takich technik przez dużą platformę może wpływać na cały ekosystem SaaS, normalizując agresywną telemetrię po stronie klienta. Z perspektywy zgodności i ochrony danych rodzi to pytania o minimalizację zbieranych informacji, przejrzystość przetwarzania oraz realną możliwość kontroli po stronie użytkownika i organizacji.
Najbardziej podatne na aktywne wykrywanie dodatków pozostają przeglądarki z rodziny Chromium, ponieważ wykorzystują schemat chrome-extension://. Nie oznacza to jednak, że inne przeglądarki są całkowicie odporne na fingerprinting, ponieważ wiele sygnałów identyfikacyjnych pochodzi z ogólnodostępnych interfejsów webowych.
Rekomendacje
Organizacje powinny potraktować BrowserGate jako sygnał ostrzegawczy dotyczący ekspozycji danych po stronie klienta WWW. Ochrona endpointów nie może dziś ograniczać się wyłącznie do klasycznych podatności i malware’u, lecz powinna obejmować również analizę zachowania aplikacji webowych.
- Ograniczyć liczbę rozszerzeń przeglądarki do absolutnego minimum
- Stosować separację profili przeglądarki dla różnych typów aktywności
- Rozważyć przeglądarki i konfiguracje z silniejszą ochroną przed fingerprintingiem
- Monitorować nietypowe żądania do zasobów rozszerzeń, ukryte iframe’y i intensywną telemetrię
- Weryfikować zakres danych zbieranych przez dostawców usług SaaS
- W środowiskach wysokiego ryzyka używać wydzielonych stacji lub przeglądarek do kontaktu z usługami zewnętrznymi
Ważnym krokiem jest także przegląd polityk prywatności oraz ustawień przeglądarkowych związanych z WebRTC, Canvas i innymi interfejsami, które mogą ujawniać cechy urządzenia. Zespoły bezpieczeństwa powinny rozszerzyć monitoring o wykrywanie nietypowych wzorców aktywności JavaScript po stronie klienta.
Podsumowanie
BrowserGate pokazuje, że współczesne ryzyka prywatności i bezpieczeństwa nie wynikają wyłącznie z klasycznych podatności typu CVE. Coraz większe znaczenie mają legalne funkcje przeglądarki, które połączone w jeden łańcuch telemetryczny mogą dostarczyć bardzo szczegółowego obrazu użytkownika, jego urządzenia i środowiska pracy.
Z perspektywy cyberbezpieczeństwa najważniejszy wniosek jest prosty: przeglądarka pozostaje kluczową powierzchnią obserwacji i profilowania. Nawet bez exploita możliwe jest budowanie zaawansowanych mechanizmów identyfikacji oraz klasyfikacji ryzyka, dlatego organizacje powinny uwzględnić ten obszar w swoich modelach ochrony.
Źródła
- Security Affairs — https://securityaffairs.com/191383/security/linkedin-browsergate.html
- Fairlinked / BrowserGate — https://browsergate.eu/
- Chrome Extensions Documentation: Manifest file format — https://developer.chrome.com/docs/extensions/reference/manifest
- MDN Web Docs: Navigator.mediaDevices — https://developer.mozilla.org/en-US/docs/Web/API/MediaDevices
- MDN Web Docs: WebGL API — https://developer.mozilla.org/en-US/docs/Web/API/WebGL_API