TARP Fingerprinting: Um Mecanismo de Browser Fingerprinting Baseado em HTML5 Resistente a Contramedidas
Resumo
Este artigo apresenta um novo mecanismo de browser fingerprinting baseado em HTML5 que é resistente a contramedidas. Mais especificamente, apresentamos o mecanismo TARP Fingerprinting, que permite a geração de uma assinatura identificadora de um navegador de internet (browser) através do uso do elemento <canvas> presente na API HTML5. Diferentemente do modelo tradicional de Canvas Fingerprinting, o mecanismo apresentado é resistente às técnicas usadas como contramedidas ao Canvas Fingerprinting, especialmente àquelas que bloqueiam a técnica adulterando o comportamento normal do elemento <canvas>. O mecanismo proposto atinge esse objetivo através da modulação da entropia das assinaturas geradas pelo elemento <canvas>, que passam a funcionar também como uma espécie de "marca d'água" ou "lacre de garantia". Ademais, apresentamos um dos dois únicos estudos existentes atualmente que medem a entropia da técnica de Canvas Fingerprinting em larga escala (>64.000 amostras) com resultados de entropia de Shannon expressivos.
Referências
Upathilake, R., Li, Y., & Matrawy, A. (2015, July). A classification of web browser fingerprinting techniques. In New Technologies, Mobility and Security (NTMS), 2015 7th International Conference on (pp. 1-5). IEEE.
K. Mowery and H. Shacham, “Pixel perfect: Fingerprinting canvas in HTML5,” in Proceedings of Web 2.0 Security & Privacy. IEEE, 2012.
Pierre Laperdrix, Walter Rudametkin, Benoit Baudry. Beauty and the Beast: Diverting modern web browsers to build unique browser fingerprints. 37th IEEE Symposium on Security and Privacy (S&P 2016), May 2016, San Jose, United States.
P. Eckersley, “How Unique Is Your Browser?” in 10th Privacy Enhancing Technologies Symposium, 2010.
M. Mulazzani, P. Reschl, M. Huber, M. Leithner, S. Schrittwieser, and E. Weippl, “Fast and Reliable Browser Identification with JavaScript Engine Fingerprinting,” in Proceedings of Web 2.0 Security & Privacy. IEEE, 2013.
Sputnik. Disponível em https://code.google.com/p/sputniktests/. Acessado em Maio de 2016.
ApPodroMe.net “CanvasFingerprintBlock: Protect your privacy. Prevent webpages from tracking you by your browser's HTML canvas fingerprint”. Disponível em https://chrome.google.com/webstore/ Acessado em maio de 2016.
kkapsner, “Plugin CanvasBlocker para FireFox”. Disponível em https://github.com/kkapsner/CanvasBlocker/. Acessado em Maio de 2016.
Acar, G., Eubank, C., Englehardt, S., Juarez, M., Narayanan, A., & Diaz, C. (2014, November). The web never forgets: Persistent tracking mechanisms in the wild. In Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security (pp. 674-689). ACM.
Liu, L., Zhang, X., Yan, G., & Chen, S. (2012, February). Chrome Extensions: Threat Analysis and Countermeasures. In NDSS.
Wang, J., Li, X., Liu, X., Dong, X., Wang, J., Liang, Z., & Feng, Z. (2012). An empirical study of dangerous behaviors in firefox extensions. In Information Security (pp. 188-203). Springer Berlin Heidelberg.
W. Peng and J. Cisna, “Http cookies - a promising technology,” Online Information Review, pp. 150–153, 2000.
Valve, "fingerprintjs2: Modern & flexible browser fingerprinting library". Disponível em https://github.com/Valve/fingerprintjs2. Acessado em Maio de 2016
Amin Faiz Khademi. (2014). Browser Fingerprinting: Analysis, Detection, and Prevention at Runtime. Master Thesis. Queen’s University, Ontario, Canada.
CARNEIRO, Brito; FEITOSA, Eduardo Luzeiro. Device Fingerprinting: Conceitos e Técnicas, Exemplos e Contramedidas. In: Minicursos do XIV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg 2014
