Para muitos usuários, Tor é a versão on-line de um bode expiatório, como é religiosamente usado para pecados pele de um. Em outras palavras, Tor (uma sigla para The Onion Router, nome original do projeto) é amplamente aceito como anônimo e é útil sempre que um usuário precisa ocultar sua localização da vigilância de rede e da análise de tráfego.
Tor é usado para vários fins por qualquer pessoa que deseja permanecer 'invisível'.
Infelizmente, conforme divulgado por pesquisador de segurança independente Jose carlos norte, Os usuários do Tor podem ter suas impressões digitais. Isso significa que usuários do Tor podem ser de-anónimos sempre que as entidades responsáveis pela aplicação da lei a decidir.
O que é impressão digital do usuário?
Muito parecido com a impressão digital do dispositivo, impressão digital do usuário são informações coletadas sobre o usuário para fins de identificação.
A impressão digital do usuário ilustra as maneiras de rastrear várias operações e detalhes sobre o comportamento online do usuário. O navegador Tor deve fornecer proteção contra rastreamento para evitar que a identidade do usuário seja exposta.
Conforme apontado pelo Norte, a impressão digital é uma ameaça específica para o usuário do Tor, já que os dados são armazenados enquanto ele navega na web (através do Tor) pode ser mais tarde em comparação com os dados obtidos a partir do browser normal do usuário. Isso é o que diz o pesquisador:
Um problema comum que o navegador tenta resolver é a impressão digital do usuário. Se um site é capaz de gerar uma impressão digital única que identifica cada usuário que entra na página, então é possível rastrear a atividade desse usuário no tempo, por exemplo, correlacionar visitas do usuário durante um ano inteiro, sabendo que é o mesmo usuário. Ou ainda pior, pode ser possível identificar o usuário se a impressão digital for a mesma no navegador e no navegador normal usado para navegar na internet. É muito importante para o navegador do usuário evitar qualquer tentativa de impressão digital do usuário.
Felizmente, os dados normalmente registrados em modelos de impressão digital não são absolutamente confiáveis. Infelizmente, ainda pode ser usado para investigação legal.
Como os usuários do Tor podem ter suas impressões digitais?
- O método de impressão digital da velocidade do mouse
Um dos aspectos mais curiosos das descobertas de Norte sobre o anonimato do navegador Tor diz respeito aos movimentos do mouse. Em particular, a velocidade de rolagem do mouse em um site por meio da roda do site. Ele a chamou de "impressão digital na velocidade do mouse":
Como a velocidade do mouse é controlada pelo sistema operacional e relacionada ao hardware, e pode ser lido usando javascript se você puder medir o tempo usando as estratégias mencionadas. Também pode ser interessante medir a velocidade média do mouse enquanto o usuário está na página movendo o mouse.
além disso, a impressão digital se torna mais precisa quando o usuário está usando um trackpad para navegar por uma página.
- O método JS com uso intensivo de CPU
O que é ainda mais complicado é que não só o usuário pode ter suas impressões digitais, mas também sua máquina. Como? Executando uma operação JavaScript com uso intensivo de CPU no navegador:
Com a precisão aprimorada no tempo fornecida pelo setInterval dentro do WebWorker, é fácil criar um script com uso intensivo de CPU (ou mesmo memória intensiva) e medir quanto tempo leva para o navegador do usuário executá-lo.
A conclusão?
Tor ou sem Tor, tirar as impressões digitais dos usuários por meio de seus navegadores é uma tarefa muito fácil.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: