La toma de huellas dactilares de Canvas es uno de los métodos de toma de huellas dactilares del dispositivo de seguimiento de usuarios en línea que permite a los sitios web identificar y rastrear a los visitantes usando HTML5 Canvas sin el uso de cookies u otros medios similares. Este método recibió una cobertura mediática significativa en 2014 [1] [2] [3] [4] después de que investigadores de la Universidad de Princeton y KU Leuven lo describieran en su artículo The Web Never Forgets . [5]
La toma de huellas dactilares digitales de Canvas funciona con el elemento Canvas de HTML5 . Como lo describen Gunesh Akar y otros: [5]
Las variantes que tienen una unidad de procesamiento de gráficos (GPU) o un controlador de gráficos instalado pueden cambiar la huella digital. Se puede almacenar y compartir una huella digital con socios para identificar a los usuarios cuando visitan sitios web afiliados. Se puede crear un perfil en función de la actividad en línea de un usuario, lo que permite a los anunciantes orientar los anuncios a la demografía y las preferencias deseadas del usuario. [3] [6]
Para enero de 2022, este concepto se había expandido a una especificación de rendimiento para hardware de gráficos, que los investigadores llamaron DrawnApart . [7]
Debido a que una huella digital depende principalmente de combinaciones de posibles configuraciones del navegador, sistema operativo y hardware de gráficos instalado, no identifica a los usuarios de manera única. En un pequeño estudio con 294 participantes de Amazon Mechanical Turk , se observó una entropía experimental de 5,7 bits. Los autores del estudio sugieren que en condiciones libres se puede observar un mayor valor de la incertidumbre de la distribución de probabilidad y con un gran número de parámetros utilizados en la huella dactilar. Si bien esta huella digital por sí sola no es suficiente para identificar a los usuarios individuales, se puede combinar con otras fuentes de entropía para producir un identificador único. Se argumenta que debido a que este método captura efectivamente la huella digital de la GPU, la medida de la incertidumbre de la distribución de probabilidad es "ortogonal" a la entropía de los métodos anteriores de huellas dactilares del navegador, como la resolución de pantalla y la capacidad del navegador para procesar solicitudes de JavaScript. [ocho]
Una identificación más única usando DrawnApart publicada en 2022. Y cuando se utiliza para mejorar otros métodos, aumenta el tiempo de seguimiento de las huellas dactilares digitales individuales en un 67 %. [7]
En mayo de 2012, Keaton Mowery y Hovav Shaham, investigadores de la Universidad de California en San Diego , escribieron "Pixel Perfect: HTML5 Fingerprint Canvas" describiendo cómo se puede usar HTML5 Canvas para generar huellas digitales de usuarios en línea. [3] [8]
La empresa de tecnología de marcadores sociales AddThis comenzó a experimentar con huellas dactilares digitales usando Canvas a principios de 2014 como un reemplazo potencial para las cookies . El 5 % de los 100 000 sitios web principales han utilizado la toma de huellas dactilares de Canvas en su infraestructura de back-end. [9] Según el director ejecutivo de AddThis, Richard Harris, la empresa utilizó los datos de estas pruebas solo para investigaciones internas. Los usuarios podrán cancelar la recopilación de datos de cookies en cualquier computadora para evitar que AddThis los rastree a través de huellas dactilares usando Canvas. [3]
El desarrollador de software le dijo a Forbes que la toma de huellas dactilares del dispositivo se usó para evitar el acceso no autorizado a los sistemas mucho antes de que se usara para rastrear a los usuarios sin su consentimiento. [2]
A partir de 2014, este método es ampliamente utilizado por muchos sitios web y es utilizado por al menos una docena de proveedores conocidos de publicidad web y seguimiento de usuarios. [diez]
En 2022, las capacidades de huellas dactilares del lienzo se han mejorado considerablemente al tener en cuenta las diferencias menores entre bloques nominalmente idénticos del mismo modelo de GPU. Estas diferencias tienen su origen en el proceso de fabricación, lo que hace que las unidades sean más deterministas a lo largo del tiempo que entre copias idénticas. [7]
La documentación de ayuda de Tor dice: "Después de los complementos y la información proporcionada por los complementos, creemos que HTML5 Canvas es la mayor amenaza de navegador de huellas dactilares que enfrentan los navegadores en la actualidad". [11] El Navegador Tor notifica al usuario de los intentos de leer el Lienzo y brinda una opción para devolver datos de imagen vacíos para evitar la toma de huellas dactilares del dispositivo. [5] Sin embargo, Tor Browser actualmente no puede distinguir el uso legítimo del elemento Canvas de los esfuerzos de toma de huellas dactilares, por lo que su advertencia no puede tomarse como evidencia de la intención del sitio web de identificar y rastrear a sus visitantes. Los complementos del navegador como Privacy Badger, [9] DoNotTrackMe, [12] o Adblock Plus [13] agregados manualmente con una lista EasyPrivacy pueden bloquear los rastreadores de redes publicitarias de terceros y se pueden configurar para bloquear las huellas dactilares usando Canvas, siempre que el rastreador es atendido por un servidor de terceros (en lugar de ser implementado por el propio sitio web visitado). La extensión del navegador Canvas Defender para Firefox y Chrome usa tecnología para crear un ruido de dispositivo único y persistente sin bloquear las llamadas JS-API, falsifica una huella digital usando Canvas. Una serie de navegadores anti- detección se basan en una tecnología similar. [catorce]
El proyecto de navegador LibreWolf incluye tecnología que bloquea el acceso a Canvas (HTML5) por defecto, permitiéndolo solo en determinados casos permitidos por el usuario.