Privacidade parece uma raridade nos dias de hoje, mas com cuidado e esforço suficientes, é possível ocultar principalmente sua pegada digital de empresas gigantes de tecnologia e governos mundiais. Pelo menos, tem sido assim até agora. Pesquisadores da França, Israel e Austrália se uniram para provar que mesmo as mais rígidas salvaguardas de privacidade podem não ser suficientes para fechar todas as brechas de rastreamento. Acontece que seu próprio hardware de computador pode acabar trabalhando contra você e ajudar a te rastrear.
Rastrear você através da sua placa de vídeo
Os pesquisadores em questão desenvolveram um método de identificação de dispositivos que eles chamam de ” DrawnApart ” . nas “propriedades únicas” de sua pilha de GPU.
Normalmente, as impressões digitais do navegador tendem a se confundir com o tempo, à medida que usuários com dispositivos semelhantes com hardware semelhante entram em um determinado site. A impressão digital da GPU procura encontrar as “pequenas diferenças” induzidas pelo processo de fabricação de cada placa de vídeo; as diferenças que não podem ser facilmente mascaradas ou ofuscadas.
Uma visão geral do método de impressão digital (rastrear) de GPU do DrawnApart.
Então, como o DrawnApart funciona em um nível um pouco mais técnico? De acordo com os pesquisadores, ele primeiro gera uma “sequência de tarefas de renderização”, cada uma com diferentes “Unidades de Execução” na GPU de um usuário.
Os resultados dessas tarefas – um rastreamento de impressão digital – são então enviados para uma rede de aprendizado de máquina, que transforma esse rastreamento em um “vetor de incorporação”. Esse vetor descreve a impressão digital e pode apontar um adversário (a pessoa ou entidade que usa essa técnica) para o dispositivo específico que a gerou.
As cargas de trabalho do DrawnApart são geradas usando WebGL, a biblioteca gráfica responsável pela renderização em inúmeros sites. As cargas de trabalho em questão são projetadas para identificar as diferenças mínimas no consumo de energia e poder de processamento nas GPUs.
Mesmo que sua marca e modelo sejam idênticos, cada placa processará a renderização de pontos WebGL (objetos de vértice único) e lidará com funções de stall de maneira um pouco diferente. Você pode ver um exemplo dessas pequenas diferenças na imagem de rastreamento abaixo, que se compara a GPUs aparentemente idênticas.
Os pesquisadores usaram o DrawnApart para coletar 50 traços de ambos os dispositivos, com cada traço individual consistindo em “176 medições de 16 pontos”. Essas medições são então organizadas em 16 grupos de 11, e cada grupo “paralisa” um ponto diferente.
O tempo que a GPU leva para renderizar cada ponto é exibido usando um gradiente de cores que varia de branco puro a azul profundo, com o primeiro representando uma renderização mais rápida (quase 0ms) e o último representando uma renderização mais lenta (até 90ms).
As barras vermelhas que você vê na imagem acima são usadas apenas para separar os grupos, e é por isso que permanecem consistentes em ambos os traços.
Como você pode ver, existem diferenças distintas entre esses dois traços. Os pesquisadores observam que algumas dessas variações são esperadas, já que nem o mesmo dispositivo sempre terá o mesmo desempenho.
No entanto, apesar disso, a equipe sente que esses traços mostram padrões distintos o suficiente para permitir que eles distingam entre duas cartas idênticas. Naturalmente, esse nível de medição granular permite impressões digitais altamente precisas que podem rastrear usuários por um período de tempo muito maior do que os métodos tradicionais. Quando combinado com um algoritmo de rastreamento “de última geração”, relata o Bleeping Computer, o Drawn Apart aumenta o período de tempo em que um alvo pode ser seguido em até 67% (28 dias versus a média normal de 17,5 dias).
Então… Por que fazer essa pesquisa? Se esses pesquisadores estão tão preocupados com a privacidade do usuário – o que eles afirmam ser – por que dar aos anunciantes e outros maus atores as chaves do reino, por assim dizer?
A equipe espera que, ao expor essas possíveis brechas de privacidade, as pessoas por trás de bibliotecas gráficas como WebGL ou a próxima API WebGPU considerem as implicações que sua tecnologia pode ter na privacidade do usuário e criem proteções mais cedo ou mais tarde.
De qualquer forma, esta pesquisa é interessante e apresenta algumas preocupações sérias para o futuro da privacidade na web. Estamos ansiosos para ver o que vem disso no futuro, para melhor ou para pior.