Safari 17 की उन्नत ऑडियो फिंगरप्रिंटिंग सुरक्षा को बायपास करना

 (fingerprint.com)
1 पॉइंट द्वारा GN⁺ 2024-03-11 | 1 टिप्पणियां | WhatsApp पर शेयर करें

ऑडियो के ज़रिए पहचान

  • ऑडियो पहचान तकनीक ब्राउज़र के ऑडियो API का उपयोग करके ऑडियो सिग्नल बनाती है, और उससे बने सभी ऑडियो सैंपल्स को जोड़कर उन्हें एक एकल संख्या में बदल देती है.
  • इस संख्या का उपयोग फिंगरप्रिंट (पहचानकर्ता) के रूप में किया जाता है, और यह cookies हटाने या incognito mode में जाने पर भी नहीं बदलती, इसलिए यह स्थिर रहती है.
  • हालांकि, यह पहचानकर्ता बहुत अधिक अद्वितीय नहीं होता, इसलिए कई उपयोगकर्ताओं का पहचानकर्ता एक जैसा हो सकता है.

Safari 17 ऑडियो फिंगरप्रिंटिंग को कैसे बाधित करता है

  • Safari 17 ने उन्नत फिंगरप्रिंटिंग सुरक्षा पेश की है, जो private browsing mode में डिफ़ॉल्ट रूप से सक्षम रहती है और सामान्य mode में अक्षम रहती है.
  • यह सुरक्षा हर ऑडियो सैंपल में यादृच्छिक noise जोड़ती है, जिससे फिंगरप्रिंट की सटीकता कम हो जाती है.
  • नतीजतन, ऑडियो फिंगरप्रिंट हर बार गणना करने पर बदल जाता है, इसलिए उसे पहचान के लिए इस्तेमाल नहीं किया जा सकता.

Safari 17 की उन्नत फिंगरप्रिंटिंग सुरक्षा को बायपास करने का तरीका

  • Safari द्वारा जोड़े गए noise को हटाने के लिए फिंगरप्रिंटिंग एल्गोरिद्म में तीन चरणों में सुधार किया गया: noise variance कम करना, ब्राउज़रों के पहचान नंबरों के बीच अंतर बढ़ाना, और बचे हुए noise को हटाने के लिए फिंगरप्रिंट को round करना.
  • noise कम करने के लिए कई ऑडियो फिंगरप्रिंट्स को जोड़ा जाता है, और ब्राउज़रों के बीच ऑडियो सैंपल के अंतर को बढ़ाने के लिए मूल signal को बदला जाता है.
  • परिणाम को स्थिर करने के लिए महत्वपूर्ण अंकों को बनाए रखते हुए ऑडियो सैंपल्स को round किया जाता है.

प्रदर्शन

  • नया फिंगरप्रिंटिंग एल्गोरिद्म मौजूदा एल्गोरिद्म की तुलना में लगभग 1.5-2 गुना धीमा है, लेकिन फिर भी कम-क्षमता वाले devices पर इसकी गणना में बहुत कम समय लगता है.
  • पेज की responsiveness बनाए रखने के लिए कुछ काम OfflineAudioRender thread में किया जाता है.

privacy-केंद्रित ब्राउज़रों में यह कैसे काम करता है

  • Tor और Brave जैसे privacy-केंद्रित ब्राउज़र भी ऑडियो फिंगरप्रिंटिंग को सीमित करने की कोशिश करते हैं.
  • Tor में Web Audio API पूरी तरह अक्षम है, इसलिए ऑडियो फिंगरप्रिंटिंग संभव नहीं है.
  • Brave, Safari 17 जैसी ही पद्धति अपनाता है और ऑडियो सिग्नल में noise जोड़ता है.

FingerprintJS में उपयोग

  • नया ऑडियो फिंगरप्रिंटिंग एल्गोरिद्म FingerprintJS में मौजूदा एल्गोरिद्म की जगह लेता है.
  • ऑडियो फिंगरप्रिंटिंग ब्राउज़र फिंगरप्रिंट बनाने के लिए उपयोग किए जाने वाले कई signals में से एक है, और हर signal की स्थिरता व विशिष्टता का अलग-अलग विश्लेषण करके यह तय किया जाता है कि उसका फिंगरप्रिंट की सटीकता पर कितना असर पड़ता है.

GN⁺ की राय

  • Safari 17 की ऑडियो फिंगरप्रिंटिंग-बाधा सुविधा उपयोगकर्ताओं की privacy मज़बूत करने की Apple की कोशिश को दिखाती है. इससे उपयोगकर्ताओं को अधिक privacy मिल सकती है.
  • हालांकि, FingerprintJS जैसी सेवाएं इन सुरक्षा उपायों को बायपास कर अब भी पहचान संभव बनाती हैं, जिससे privacy सुरक्षा और security के बीच जारी तनाव सामने आता है.
  • इस तकनीक का cyber security में कैसे उपयोग किया जा सकता है, इस पर और चर्चा की ज़रूरत है. उदाहरण के लिए, इसका उपयोग fraud रोकने और user accounts की सुरक्षा के लिए किया जा सकता है.
  • इसी तरह की क्षमता देने वाले अन्य open source projects में Privacy Badger और uBlock Origin शामिल हैं, जो user tracking को रोकने में मदद कर सकते हैं.
  • तकनीक अपनाते समय user privacy और websites की security आवश्यकताओं के बीच संतुलन खोजना महत्वपूर्ण है. इस तकनीक का लाभ user identification की बेहतर सटीकता है, लेकिन privacy उल्लंघन के जोखिम पर भी विचार किया जाना चाहिए.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-03-11
Hacker News राय

  • GPU fingerprinting तकनीक

    • GPU fingerprinting तकनीक 'DrawnApart' WebGL का उपयोग करके GPU के execution units की संख्या और speed मापती है, और vertex rendering completion time, stall function processing आदि को मापने वाली तकनीक है.
    • स्रोत

  • Audio fingerprinting की संभावना

    • Audio fingerprinting संभव होने के कारण पर स्पष्टीकरण का अनुरोध.

  • डेटा लीक रोकने के लिए noise जोड़ने की अप्रभाविता

    • Side-channel attacks में हाल की रुचि को देखते हुए, डेटा लीक रोकने के लिए noise जोड़ना प्रभावी नहीं है, क्योंकि अधिक samples लेकर noise हटाया जा सकता है.
    • Safari ने इसे क्यों जोड़ा, इस पर सवाल उठाया गया.

  • Web Audio API spec और oscillator anti-aliasing processing

    • Web Audio API spec में oscillator की anti-aliasing processing method के चुनाव को fingerprinting bypass की सफलता की कुंजी माना गया.
    • Browser या hardware के अनुसार अलग anti-aliasing methods चुनी जा सकती हैं, जिससे browsers के बीच या एक ही browser के भीतर भी non-deterministic results आ सकते हैं.
    • Anti-aliasing को browser पर छोड़ने के फैसले को लेकर समझ की कमी व्यक्त की गई.
    • स्रोत

  • Browser के भीतर Audio API implementation पर आलोचना

    • Browser में node-graph audio API शामिल करना अव्यावहारिक है, ऐसा मत व्यक्त किया गया.
    • तर्क दिया गया कि केवल audio worklet ही होना चाहिए.

  • Sampling noise जोड़ने के तरीके में सुधार का प्रस्ताव

    • यह प्रस्ताव दिया गया कि Safari हर sample में random noise जोड़ने के बजाय, समय-समय पर बदलने वाली key पर आधारित noise जोड़ सकता है.
    • इस तरीके में एक session के भीतर noise स्थिर रहेगा, लेकिन एक घंटे बाद tracking के लिए बेकार हो जाएगा.

  • JavaScript disable करना पसंद करने वाले उपयोगकर्ता की राय

    • एक उपयोगकर्ता ने JavaScript disable करके web browse करना पसंद करने की राय दी.

  • Audio API prototype बदलकर fingerprinting में बाधा डालना

    • Audio API के prototype को बदलकर मनचाहा result लौटाने का तरीका सुझाया गया.
    • मनचाहा spoofed fingerprint पाने में कठिनाई होने की बात भी मानी गई.

  • Audio processing fingerprinting का आधार

    • यह प्रश्न उठाया गया कि audio processing fingerprinting hardware/driver/OS के फर्क पर आधारित है या सिर्फ browser software के फर्क पर.
    • यह भी उल्लेख किया गया कि इसी तरह की तकनीक में <canvas> का उपयोग करके graphics devices के बीच अंतर उजागर किया गया था.