Seorang peneliti telah membuat situs web yang menggunakan ekstensi Google Chrome yang Anda pasang untuk menghasilkan sidik jari perangkat Anda yang dapat digunakan untuk melacak Anda secara online.
Untuk melacak pengguna di web, dimungkinkan untuk membuat sidik jari, atau melacak hash, berdasarkan berbagai karakteristik perangkat yang terhubung ke situs web. Karakteristik ini mencakup kinerja GPU, aplikasi Windows yang diinstal, resolusi layar perangkat, konfigurasi perangkat keras, dan bahkan font yang diinstal.
Kemudian dimungkinkan untuk melacak perangkat di seluruh situs menggunakan metode sidik jari yang sama.
Kemarin, pengembang web ‘z0ccc’ membagikan situs sidik jari baru yang disebut ‘Sidik Jari Ekstensi’ yang dapat menghasilkan hash pelacakan berdasarkan ekstensi Google Chrome yang dipasang di browser.
Saat membuat ekstensi browser Chrome, Anda dapat mendeklarasikan aset tertentu sebagai ‘sumber daya yang dapat diakses web’ yang dapat diakses oleh halaman web atau ekstensi lainnya.
Sumber daya ini biasanya berupa file gambar, yang dideklarasikan menggunakan properti ‘web_accessible_resources’ dalam file manifes ekstensi browser.
Seperti yang diungkapkan sebelumnya pada tahun 2019, dimungkinkan untuk menggunakan sumber daya yang dapat diakses melalui web untuk memeriksa ekstensi yang diinstal dan menghasilkan sidik jari browser pengunjung berdasarkan kombinasi ekstensi yang ditemukan.
Untuk mencegah deteksi, z0ccc mengatakan bahwa beberapa ekstensi menggunakan token rahasia yang diperlukan untuk mengakses sumber daya web. Namun, peneliti menemukan metode ‘Perbandingan waktu sumber daya’ yang masih dapat digunakan untuk mendeteksi jika ekstensi dipasang.
Untuk mengilustrasikan metode sidik jari ini, z0ccc membuat situs web Extension Fingerprints yang akan memeriksa keberadaan sumber daya yang dapat diakses web di 1.170 ekstensi populer yang tersedia di Google Chrome Web Store di browser pengunjung.
Beberapa ekstensi yang akan diidentifikasi oleh situs web adalah uBlock, LastPass, Adobe Acrobat, Honey, Grammarly, Rakuten, dan ColorZilla.
Berdasarkan kombinasi ekstensi yang diinstal, situs web akan menghasilkan hash pelacakan yang dapat digunakan untuk melacak browser tertentu, seperti yang ditunjukkan di bawah ini.
Sumber: BleepingComputer
Beberapa ekstensi populer, seperti MetaMask, tidak mengekspos sumber daya apa pun, tetapi z0ccc masih dapat mengidentifikasi apakah ekstensi tersebut diinstal dengan memeriksa apakah “typeof window.ethereum sama dengan undefined.”
Sementara mereka yang tidak memasang ekstensi akan memiliki sidik jari yang sama dan kurang berguna untuk pelacakan, mereka yang memiliki banyak ekstensi akan memiliki sidik jari yang kurang umum yang dapat digunakan untuk melacaknya di web.
Namun, menambahkan karakteristik lain ke model sidik jari dapat lebih menyempurnakan sidik jari, menjadikan hash unik per pengguna.
Situs Sidik Jari Ekstensi hanya berfungsi dengan browser Chromium yang memasang ekstensi dari Toko Web Chrome. Meskipun metode ini akan bekerja dengan Microsoft Edge, metode ini perlu dimodifikasi untuk menggunakan ID ekstensi dari toko ekstensi Microsoft.
Metode ini tidak berfungsi dengan add-on Mozilla Firefox karena ID ekstensi Firefox unik untuk setiap instance browser.
Sementara z0ccc tidak mengumpulkan data apa pun mengenai ekstensi yang diinstal, pengujiannya sendiri menunjukkan bahwa uBlock yang diinstal adalah sidik jari ekstensi yang paling umum.
Dalam pengujian kami, memasang tiga hingga empat ekstensi membawa persentase pengguna yang menggunakan ekstensi yang sama serendah 0,006%. Jelas, semakin banyak ekstensi yang dipasang, semakin sedikit orang yang memasang kombinasi yang sama.
z0ccc mengatakan persentase 0,006% menunjukkan bahwa Anda adalah satu-satunya pengguna dengan kombinasi ekstensi itu, tetapi ini akan berubah seiring semakin banyak orang mengunjungi situs tersebut.
Sidik Jari Ekstensi telah dirilis sebagai proyek React sumber terbuka di GitHub, memungkinkan siapa saja untuk melihat cara menanyakan keberadaan ekstensi yang diinstal.
Pembaruan 19/06/22: Mengklarifikasi bahwa z0ccc tidak menemukan metode untuk mendeteksi ekstensi yang diinstal melainkan metode perbandingan waktu.
Sumber: Bleeping Computer
