I ricercatori affermano che la tua GPU potrebbe esporre informazioni private online
In un’epoca di maggiore consapevolezza della privacy online, molti di noi sono consapevoli delle proprie impronte digitali e preferiscono non essere rintracciati. Tuttavia, potrebbe non essere così semplice come sembrava in precedenza.
Un team internazionale di ricercatori ha scoperto che gli utenti possono essere rintracciati dalle loro schede grafiche. Ciò avviene attraverso una nuova tecnica denominata “GPU fingerprinting”.
Un esempio della tecnica di fingerprinting della GPU che mostra due GPU identiche che producono comunque risultati diversi.
Questa nuova tecnologia, denominata DrawnApart dai ricercatori e segnalata per la prima volta da Bleeping Computer, si basa sulle piccole differenze tra ogni componente hardware per fare una distinzione che lo leghi a un determinato utente. Attraverso una serie di identificatori, i ricercatori scoprono di essere in grado di rintracciare i singoli utenti, così come la loro attività online, semplicemente implementando questa nuova tecnica.
Il team si estende in diversi paesi e università, inclusi ricercatori provenienti da Israele, Francia e Australia, che hanno pubblicato i loro risultati online in un articolo su Arxiv.org. Hanno mostrato esempi della tecnica di fingerprinting della GPU, che si basa sul fatto che nessun componente è esattamente lo stesso, anche se fanno tutti parte dello stesso modello e sono stati realizzati dallo stesso produttore.
Ci sono piccole differenze nelle prestazioni, nel consumo energetico e nelle capacità di elaborazione di ogni scheda grafica . DrawnApart ne trae vantaggio utilizzando carichi di lavoro fissi basati sulla Web Graphics Library (WebGL). Si tratta di un’API (Application Programming Interface) basata su JavaScript multipiattaforma responsabile del rendering della grafica all’interno di qualsiasi browser Web compatibile.
Utilizzando WebGL, DrawnApart prende di mira gli shader della GPU con una sequenza speciale di operazioni grafiche create appositamente per questo compito. Le operazioni di disegno sono ultra precise e rendono più facile per i ricercatori distinguere le schede grafiche, e questo include schede della stessa marca e modello.
Una volta completata l’attività, la tecnica produce una traccia accurata con misurazioni temporali che includono il tempo impiegato dalla scheda per gestire le funzioni di stallo, il rendering completo dei vertici e altro ancora. Poiché i tempi sono individuali per ciascuna GPU, ciò si traduce nel rendere l’unità tracciabile.
DrawnApart: grafico del tempo di tracciamento medio per periodo di raccolta.
Il team di ricerca rileva che questa tecnica fornisce un elevato grado di accuratezza e rappresenta un miglioramento rispetto ai metodi di tracciamento esistenti. L’algoritmo è stato testato su un ampio campione di oltre 2.500 dispositivi unici e 371.000 impronte digitali e i ricercatori hanno notato un miglioramento del 67% rispetto all’utilizzo dei soli metodi di rilevamento delle impronte digitali attuali senza DrawnApart. Allo stato attuale, DrawnApart può eseguire l’impronta digitale di una scheda grafica in soli otto secondi.
Otto secondi è ultraveloce così com’è, ma c’è il potenziale per un tracciamento ancora più accurato e rapido attraverso l’uso di API più nuove e più veloci. Il team ha invece testato utilizzando le operazioni di compute shader e ha scoperto che i risultati ora erano accurati fino al 98% e richiedevano solo 150 millisecondi per essere raggiunti.
Sebbene i risultati siano impressionanti, è impossibile negare che siano anche terrificanti. Siamo tutti abituati a rifiutare i cookie su vari siti Web, ma DrawnApart dimostra che presto potrebbe non essere sufficiente. Il team di ricerca è anche profondamente consapevole del potenziale uso improprio rappresentato dall’impronta digitale della GPU.
“Si tratta di un sostanziale miglioramento del tracciamento senza stato, ottenuto attraverso l’uso del nostro nuovo metodo di rilevamento delle impronte digitali. […] Riteniamo che sollevi preoccupazioni pratiche sulla privacy degli utenti sottoposti a impronte digitali”, hanno affermato i ricercatori nel loro articolo.
Poiché la tecnica di fingerprinting della GPU potrebbe non richiedere autorizzazioni aggiuntive, gli utenti potrebbero esservi soggetti semplicemente navigando in Internet. Khronos, l’organizzazione responsabile della libreria WebGL, sta già esplorando i modi per impedire che la tecnica venga utilizzata in modo dannoso.