انگشت‌نگاری صوتی برای ردیابی کاربران اینترنت

شاید یکی از بحث برانگیزترین موضوعات در رابطه با اینترنت حفظ حریم خصوصی باشد. تاکنون بارها درباره‌ی روش‌ ناشناس ماندن در اینترنت و روش‌هایی که سازمان‌های اطلاعاتی و مجریان قانونی انجام می‌دهند تا کاربران را شناسایی کنند صحبت شده است.
بیشتر کاربران تصور می‌کنند که تنها مسدود کردن اسکریپت‌ها و تبلیغات برای جلوگیری از ردیابی شدن کافی است، اما این تصور اشتباه است. برخی وب‌گاه‌ها با استفاده از روش‌های انگشت‎نگاری مبتنی بر HTML Canvass API و IP محلی WebRTC، می‌توانند کاربران ناشناس را ردیابی کنند.
در این پست نیز در مورد یک روش جدید ردیابی به نام انگشت‎نگاری صوتی صحبت خواهد شد.

روش ردیابی با استفاده از انگشت‎نگاری صوتی، راه‎حلی معتبر برای صنعت تبلیغات و سازمان‌های اجرای قانون ارائه می‌دهد. از این روش برای شناسایی کاربرانی استفاده می‌شود که از طریق یک شبکه VPN و بدون رمزگشایی ترافیک به اینترنت وصل شده‌اند.
گروهی از محققان دانشگاه پرینستون، آزمایشی بر روی چند دامنه‌ی گوگل انجام دادند و متوجه شدند که این شرکت با بهره‎گیری از روش‌های شناسایی و ردیابی، در حال ردیابی حدود ۸۰ درصد از کل یک میلیون دامنه برتر هستند.
این محققان در مقاله‌ای که منتشر کردند گفتند: «۱۵ نوع آزمایش روی هر وب‌گاه انجام دادیم از جمله ردیابی حالتمند (مبتنی بر کوکی) و بدون حالت (مبتنی بر انگشت‎نگاری)، تاثیر ابزارهای خصوصی مرورگر و تبادل اطلاعات ردیابی بین وب‌گاه‌های مختلف. یافته‌های ما شامل چندین روش انگشت‎نگاری پیچیده‌ای است که قبلاً هرگز در دنیای واقعی بررسی نشده بودند».

یکی از این روش‌های ردیابی، روش انگشت‎نگاری صوتی است که به نمونه صدای دستگاه از طریق استفاده از AudioContext API وابسته‌ است. محققان متوجه شدند که می‌توان سیگنال‌های صوتی هر دستگاهی که از AudioContext API استفاده می‎کند را برای نشان دادن مرورگر منحصربه‎فرد و ترکیبات دستگاه بکار برد.
یک ردیاب سوم شخص با سوءاستفاده از این روش و با استفاده از AudioContext API می‌تواند صداهایی با فرکانس کم به ماشین کاربر بفرستد و روشی که دستگاه با آن اطلاعات را پردازش می‌کند را بررسی کند تا اثر انگشت منحصربه‎فردی برای آن ماشین و کاربر ایجاد شود.
محققان در ادامه گفتند: «یک اسکریپت از شرکت Liverail، وجود AudioContext و Oscillator Node را بررسی می‌کند تا یک بیت اطلاعات به یک اثرانگشت اضافه کند. اسکریپت‌های پیچیده‌تر سیگنال صوتی تولید شده با یک Oscillator Node را پردازش می‌کنند تا دستگاه را انگشت‎نگاری کنند. این روش ظاهراً شبیه به روش انگشت‎نگاریCanvas است. سیگنال‌های صوتی پردازش شده روی دستگاه یا مرورگرهای مختلف ممکن است به علت تفاوت‌های نرم‌افزاری و سخت‌افزاری بین دستگاه‌ها، تفاوت اندکی با یکدیگر داشته باشند. در حالی که ترکیب مشابهی از دستگاه‌ و مرورگر، خروجی مشابهی تولید می‎کند».
تیم محققان یک صفحه‎ی دِمو ثبت ‌شده از این روش را منتشر کرده‌اند تا به کاربران چگونگی سوءاستفاده از AudioContext را نشان دهند.
خوش‎بختانه، روش انگشت‎نگاری صوتی هنوز رایج نشده است.

محققان از ابزار متن‎بازی به نام Open WPM برای انجام آزمایشات استفاده کردند. این ابزار ویژگی‌های پیشرفته بسیاری دارد از جمله توانایی ورود خودکار به دستگاه‌ها با استفاده از اعتبارات ویژه. این ابزار وب‌گاه‌ها را روی مروگرهای رایجی مثل کروم، فایرفاکس و اینترنت اکسپلورر بارگذاری می‌کند تا اطلاعات را روی ردیاب بارگذاری شده روی هر صفحه جمع آوری کند.
کار این محققان با ارزش است، چنین بررسی‌هایی به مدافعان حریم خصوصی علیه گسترش روش‌های ردیابی کمک می‌کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap