Исследователи говорят, что ваш GPU может раскрывать личную информацию в Интернете

Дядя Влад

В эпоху повышения осведомленности о конфиденциальности в Интернете многие из нас осознают свои цифровые отпечатки пальцев и предпочитают, чтобы их не отслеживали. Однако все может оказаться не так просто, как казалось ранее.

Международная группа исследователей обнаружила, что пользователей можно отследить по их видеокартам. Это делается с помощью новой техники, называемой «снятие отпечатков пальцев графического процессора».

Пример метода снятия отпечатков пальцев графического процессора.
Пример метода снятия отпечатков пальцев графического процессора, демонстрирующий два идентичных графических процессора, которые по-прежнему дают разные результаты.

Эта новая технология, названная исследователями DrawnApart и впервые описанная Bleeping Computer, опирается на крошечные различия между каждым аппаратным обеспечением, чтобы провести различие, связывающее его с определенным пользователем. Исследователи обнаружили, что с помощью ряда идентификаторов они могут отслеживать отдельных пользователей, а также их онлайн-активность, просто применяя эту новую технику.

Команда состоит из нескольких стран и университетов, включая исследователей из Израиля, Франции и Австралии, которые опубликовали свои выводы в Интернете в статье на Arxiv.org. Они продемонстрировали примеры техники снятия отпечатков пальцев графического процессора, основанной на том факте, что нет абсолютно одинаковых компонентов, даже если все они являются частью одной модели и изготовлены одним и тем же производителем.

Существуют небольшие различия в производительности, энергопотреблении и вычислительных возможностях каждой видеокарты . DrawnApart использует это преимущество, используя фиксированные рабочие нагрузки на основе библиотеки веб-графики (WebGL). Это кроссплатформенный интерфейс прикладного программирования (API) на основе JavaScript, отвечающий за рендеринг графики в любом совместимом веб-браузере.

Используя WebGL, DrawnApart нацеливает шейдеры графического процессора на специальную последовательность графических операций, созданную специально для этой задачи. Операции рисования являются сверхточными и облегчают исследователям различение видеокарт, в том числе карт одной марки и модели.

После завершения задачи этот метод создает точную трассировку с измерениями времени, включая время, необходимое карте для обработки функций остановки, полного рендеринга вершин и многого другого. Поскольку синхронизация индивидуальна для каждого графического процессора, это позволяет отслеживать устройство.

Диаграмма продолжительности отслеживания DrawnApart.
DrawnApart: Среднее время отслеживания по графику периода сбора.

Исследовательская группа считает, что этот метод обеспечивает высокую степень точности и является улучшением по сравнению с существующими методами отслеживания. Алгоритм был протестирован на большой выборке из более чем 2500 уникальных устройств и 371 000 отпечатков пальцев, и исследователи отметили улучшение на 67% по сравнению с использованием только текущих методов снятия отпечатков пальцев без DrawnApart. В своем текущем состоянии DrawnApart может снять отпечаток пальца с видеокарты всего за восемь секунд.

Восемь секунд — это сверхбыстро, но есть потенциал для еще более точного и быстрого отслеживания за счет использования более новых и быстрых API. Вместо этого команда провела тестирование с использованием операций вычислительного шейдера и обнаружила, что точность результатов теперь достигает 98 %, а для их достижения требуется всего 150 миллисекунд.

Хотя результаты впечатляют, невозможно отрицать, что они также ужасны. Мы все привыкли отказываться от файлов cookie на различных веб-сайтах, но DrawnApart доказывает, что скоро этого может оказаться недостаточно. Исследовательская группа также хорошо осведомлена о возможности неправомерного использования отпечатков пальцев графического процессора.

«Это существенное улучшение отслеживания без сохранения состояния, полученное благодаря использованию нашего нового метода снятия отпечатков пальцев. […] Мы считаем, что это вызывает практические опасения по поводу конфиденциальности пользователей, подвергающихся снятию отпечатков пальцев», — заявили исследователи в своей статье.

Поскольку метод снятия отпечатков пальцев графического процессора может не требовать дополнительных разрешений, пользователи могут подвергаться ему, просто просматривая Интернет. Khronos, организация, отвечающая за библиотеку WebGL, уже изучает способы предотвращения злонамеренного использования этой техники.