【別出心裁】圖像處理器有助跨網站追蹤網民身份
一隊由法國、以色列、澳洲大學研究員組成的研究隊伍,成功利用網民電腦內的圖像處理器 (GPU) 表現,為每個網站瀏覽者進行身份標籤,並達成上網追蹤的目標。是次實驗使用了二千多部電腦設備及 1,600 多款中央處理器,研究員說配合最先進的瀏覽者身份追蹤運算法,準確度可高達 67%,而且追蹤時間更可以由 17.5 日延長至 28 日,認真有心思。
追蹤互聯網用家跨網站瀏覽記錄,是不少廣告商都會進行的工作,因為掌握同一用家的興趣及瀏覽行為,可以令廣告商更精準為用家投入廣告內容,例如如廣告商知道該用家平常愛看旅行、飲食的網站或內容,便為將相關廣告投放至該用家的瀏覽器廣告欄位,對方點擊該廣告的機會亦會大增,廣告收入便更多。
而為了阻止廣告商可以靠標籤瀏覽者身份,追蹤互聯網用家的網站瀏覽行為,不少瀏覽器都會加入反追蹤功能,例如 Firefox 會將每個網站的瀏覽記錄分隔儲存,令廣告商無法執行跨網站鎖定同一用家身份。不過,由上述大學研究員組成的研究小隊,便嘗試從 cookies 以外的方法去追蹤同一網民的跨網站行為,而這個被命名為 DrawnApart 的方法,便是利用網民使用的電腦設備的圖像處理器及硬件功效,對每一個網站瀏覽者進行身份標籤。
研究員解釋,他們針對的是一個稱為 WebGL (Web Graphics Library) 的跨平台 API,它用於瀏覽器在編譯網站的立體圖像時使用,簡單來說,只要網民使用瀏覽器訪問特製的網站時,DrawnApart 便會記錄圖像處理器在編譯網頁內容的運算次數及完成速度,由於每個網民使用的圖像處理器及電腦硬件都不相同,因此只要能夠記錄這些數據,基本上便可判斷進入不同網站的是否同一人。研究員更指出即使兩個用家採用的電腦硬件配置及圖像處理器都一模一樣,甚至由同一生產商提供,但在執行時依然會存在微細分別,因此只要再配合現時最先進的跨網站追蹤運算法,即使未有其他資料如使用者瀏覽器的版本、作業系統等,準確度仍能達 67%,而且追蹤時間更可長達 28 日,對互聯網用家的私隱構成一定威脅。
不過,這次研究由於是在實驗室內進行,因此對測試仍有一定限制,例如圖像處理器的工作溫度均在 26.4°C 至 37°C 之間,電壓輸出亦不存在變數。要阻止廣告商使用這種標籤身份方法,研究員認為 WebGL API 開發者可以加入屬性值更改、阻止執行編碼、防止時間測量等對策。現時研究人員已將研究轉交 WebGL API 開發商 Khronos,為對方提供反追蹤技術參考,希望在推出新版本時能夠加入反追蹤功能。