研究人员利用基于GPU指纹识别技术追踪在线用户

在网络浏览中，隐私权应该防止网站未经同意跟踪用户浏览活动。这是本案特别针对跨网站追踪，在哪个网站所有者串通建立跨越多个网站的浏览档案网站在很长一段时间内。不幸的是用户隐私权与商业利益相冲突。网站所有者对追踪用户的信息非常感兴趣向他们展示他们更有可能点击的广告，或者推荐他们更有可能购买的产品。

我们关注的是一个常见的场景，其中浏览器相当于跟踪用户。传统的方式是跟踪用户的方法是使用cookie存储在浏览器中，并应网站要求，并转发至网站。最近的法规限制和监督网站获取私人数据，并特别要求用户同意使用cookie。此外，为了保护用户的隐私和限制跟踪，现代浏览器限制基于cookie的跟踪，尤其是第三方追踪者，他们试图追踪整个网络的用户浏览的多个不相关的网站。

当第三方服务收集各种人的信息，并利用这些信息帮助在其他在线用户的海洋中识别他们时，就会发生对用户的在线追踪。这种对特定信息的收集通常被称为"指纹"，攻击者通常利用它来获取用户的信息。今天，研究人员宣布，他们成功地利用WebGL（网络图形库）的优势，为每一颗GPU创建了一个独特的指纹，通过在用户浏览器中执行的脚本来收集有关软件或硬件特性的信息。它用于跟踪用户，或作为一种额外的身份识别手段，以提高安全性。

这是一种新的GPU指纹识别技术，可以从其GPU每块硅片在制造时都有自己的变化和独特的特征。是因为就像每个人都有一个独特的指纹一样。即使在确切的处理器型号中，硅料的差异也使每个产品与众不同，这就是为什么你不能将每一枚处理器超频到相同的频率，所谓芯片“体质”存在差异的原因。

如果有人能精确地探索GPU的差异，并利用这些差异通过这些特征来识别在线用户，会发生什么？这正是创建DrawnApart的研究人员所想到的。使用WebGL，他们运行了一个GPU工作负载，在16个数据收集处识别了超过176个测量值。这是在GLSL（OpenGL着色语言）中使用顶点操作完成的，工作负载被阻止在处理单元的网络上随机分布。

DrawnApart可以测量和记录完成顶点渲染的时间，记录渲染的确切路线，处理停滞功能，以及更多。这使得该框架能够发出独特的数据组合，变成GPU的指纹，可以在线利用。在下面的图中你可以看到两个GPU（相同型号）的数据跟踪记录，从中可以显示出变化。

WebGL API的创造者Khronos Group已经成立了一个工作小组来处理这种情况，并防止API泄露过多的信息来在线追踪用户。如果你想了解更多关于这项技术的信息，你可以在ArXiv上阅读更多细节：

https://arxiv.org/pdf/2201.09956.pdf