Computers tracken via GPU fingerprinting is mogelijk, blijkt uit een onderzoek van een consortium van universiteiten. De prestatiekenmerken van een grafische processor zijn zo individueel dat zij het volgen van de gebruikte browsers aanzienlijk kunnen vereenvoudigen, zo wordt beschreven in de paper DrawnApart.
Computers tracken via GPU fingerprinting
Desktop-pc’s, notebooks, smartphones en andere apparaten kunnen gedurende lange tijd bij het surfen op websites worden geïdentificeerd door middel van fingerprinting, zelfs zonder tracking cookies.
Een onderzoeksconsortium van Australische, Franse en Israëlische universiteiten bewijst nu dat de grafische eenheid in een toestel aanzienlijk kan worden benut voor tracking.
DrawnApart Paper over Computers tracken via GPU fingerprinting
De techniek, DrawnApart (zie de paper – download hier) genaamd, voert korte grafische berekeningen uit via WebGL, de grafische API die gewoonlijk in browsers wordt gebruikt, en gebruikt eenvoudige JavaScript om een aantal parameters te loggen, waaronder het aantal shader cores, de toegepaste klokfrequenties en de tijd die nodig is voor rendering.
De grafische berekeningen worden ofwel gedurende enkele seconden op de voorgrond uitgevoerd, ofwel gedurende een langere periode op de achtergrond.
Omdat elk halfgeleideronderdeel uniek is na het belichtingsproces bij de chipproductie, kan zelfs hardware die in feite identiek is, worden onderscheiden.
Elke GPU zijn eigen kenmerken
Elke GPU heeft bijvoorbeeld zijn eigen curve van spanning en klok – een GeForce RTX 3080 gedraagt zich niet als een andere GeForce RTX 3080, een geïntegreerde Adreno 660 GPU van een smartphone gedraagt zich niet als een andere Adreno 660.
Uitbreiding van eerdere fingerprinting identificatietechnieken
Het onderzoeksteam achter DrawnApart gebruikte deze prestatiekenmerken om eerdere browser fingerprinting technieken uit te breiden. Deze laatste lezen bijvoorbeeld hardwareconfiguraties, browserversies en instellingen uit.
DrawnApart-gegevens kunnen worden gebruikt om toestellen beter te identificeren na software-updates en hardwarewijzigingen, op voorwaarde dat dezelfde GPU wordt gebruikt.
Fingerprinting – Computer tracken via FP Stalker-techniek
Een eerdere techniek voor het genereren van fingerprinting heet FP Stalker. In de paper is dit maandenlang individueel en in combinatie met DrawnApart getest op meer dan 2500 apparaten.
Het resultaat: de gemiddelde trackingduur nam toe van 16 tot 30 dagen (+ 66,7 procent) als een voorbereide website om de zes dagen werd bezocht.
Met een interval van zeven dagen nam de gemiddelde tracking-duur toe van 17,5 tot 28 dagen (+ 60 procent). Na deze perioden kon slechts minder dan de helft van de browserinstanties op betrouwbare wijze worden geïdentificeerd.
Verschillen in de gemiddelde volgduur tussen FP Stalker en FP Stalker + DrawnApart bij een bezoekinterval van 7 dagen. (Afbeelding: DrawnApart papier)
Ontwikkelingen in WebGPU API
Momenteel ontwikkelen grootmachten als Apple, Mozilla, Microsoft en Google WebGPU, een potentiële WebGL-opvolger die naast grafische shaders ook complexe compute shaders kan uitvoeren.
Het onderzoeksteam voerde test-mutex-functies uit op alle shadergroepen van een GPU en registreerde welke shadergroep de taak voltooide en hoe snel. Op die manier werd de tijd die nodig was voor de identificatie teruggebracht van gemiddeld 8 seconden tot slechts 150 milliseconden – met een classificatienauwkeurigheid van 98 procent.
Het onderzoeksteam pleit er daarom voor dat bij de ontwikkeling van nieuwe browser-API’s ook aandacht wordt besteed aan het privacyvraagstuk. Het consortium achter de WebGL API, de Khronos Group, werkt samen met browserontwikkelaars om manieren te onderzoeken om GPU-tracking moeilijker te maken.
Door Mark Mantel, Nick Muijs
