Auch GPU eignen sich für das Fingerprinting – ganz vorzüglich sogar. (Grafik: Shutterstock/Ktsdesign)
Ein Team aus Wissenschaftlerinnen und Wissenschaftlern französischer, israelischer und australischer Universitäten hat einen Weg gefunden, wie mithilfe von Grafikprozessoren einzigartige Fingerabdrücke erstellt und für eine persistierende Internetverfolgung genutzt werden können.
Drawnapart setzt auf WebGL
Diese Technik, die die Forschenden „Drawnapart“ nennen, setzt zunächst auf der WebGL-Bibliothek (Web Graphics Library) auf. WebGL ist eine plattformübergreifende API für das Rendern von 3D-Grafiken, die von allen modernen Webbrowsern unterstützt wird.
Das Drawnapart-Trackingsystem nutzt die Bibliothek sachentfremdet. Es zählt die Anzahl und Geschwindigkeit der Ausführungseinheiten in der GPU, misst die Zeit, die benötigt wird, um Vertex-Renderings abzuschließen, handhabt Stall-Funktionen und vieles mehr. Dadurch ist Drawnapart in der Lage, unverwechselbare Fingerabdrücke allein auf der Grundlage der GPU der getrackten Systeme zu erstellen.
Drawnapart verwendet kurze GLSL-Programme, die von der Ziel-GPU nur als Teil des Vertex-Shaders ausgeführt werden können. So begrenzt das System die Ausführungsebene ausdrücklich auf die GPU.
Einzigartiger Fingerabdruck auch bei identischer Hardware
Das Drawnapart-System erzeugt Spuren aus 176 Messungen an 16 Punkten und erstellt daraus einen einzigartigen Fingerabdruck des individuellen Geräts. Das funktioniert sogar bei Geräten mit identischer Hardware. Selbst wenn ein Satz integrierter Schaltkreise in einem identischen Fertigungsprozess hergestellt wird, die gleiche nominale Rechenleistung, die gleiche Anzahl von Verarbeitungseinheiten und die exakt gleichen Kerne und Architektur aufweist, unterscheidet sich jeder Schaltkreis aufgrund der normalen Fertigungsvariabilität dennoch geringfügig, stellten die Forschenden in umfangreichen Umbauversuchen fest.
Diese Unterschiede seien im normalen Tagesgeschäft nicht zu erkennen, weil sie quasi weggerechnet werden. Ein System wie Drawnapart suche aber ausdrücklich nach diesen Unterschieden. Dabei brauche Drawnapart im Schnitt acht Sekunden, um einen eindeutigen Fingerabdruck zu berechnen, schreiben die Forschenden in ihrem Paper (PDF) auf dem Wissenschaftsserver ArXiv.
Neue WebGPU-API verschärft das Problem noch
Mit der kommenden WebGPU-API sehen die Forschenden ein noch einfacheres, schnelleres und zuverlässigeres Fingerprinting kommen. Das brauche durch die Verwendung von Compute-Shader nur noch 150 Millisekunden für eine Klassifizierungsgenauigkeit von 98 Prozent.
Potenzielle Gegenmaßnahmen zu dieser Fingerprinting-Methode bestünden in der Änderung von Attributwerten, der Verhinderung paralleler Prozesse, der Blockierung von Skripten und API sowie der Verhinderung von Zeitmessungen. Damit befassen sich nun die Entwickler der WebGL-API, die Khronos-Gruppe. Sie hat bereits eine technische Studiengruppe gebildet, um mögliche Lösungen mit Browserherstellern und anderen Beteiligten zu diskutieren.
Der Schlüssel zu deinem Unternehmenserfolg ist, deine Kund:innen zu verstehen. Lerne in unserem Guide, wie du mit Customer Insights erfolgreicher wirst!
Jetzt lesen!
Go go go Khronos!!! So einen Schmand brauchen wir nicht auch noch.