Forscher sagen, dass Ihre GPU private Informationen online preisgeben könnte

Eskere Guru

In einer Zeit des zunehmenden Bewusstseins für den Online-Datenschutz sind sich viele von uns ihrer digitalen Fingerabdrücke bewusst und ziehen es vor, nicht verfolgt zu werden. Es ist jedoch möglicherweise nicht so einfach, wie es zuvor schien.

Ein internationales Forscherteam hat herausgefunden, dass Nutzer über ihre Grafikkarten aufgespürt werden können. Dies geschieht durch eine neue Technik, die als „GPU-Fingerprinting“ bezeichnet wird.

Ein Beispiel für die GPU-Fingerprinting-Technik.
Ein Beispiel für die GPU-Fingerprinting-Technik, das zwei identische GPUs zeigt, die dennoch unterschiedliche Ergebnisse liefern.

Diese neue Technologie, die von den Forschern DrawnApart genannt und erstmals von Bleeping Computer beschrieben wurde, stützt sich auf die winzigen Unterschiede zwischen den einzelnen Hardwareteilen, um eine Unterscheidung zu treffen, die sie an einen bestimmten Benutzer bindet. Durch eine Reihe von Identifikatoren stellen Forscher fest, dass sie in der Lage sind, einzelne Benutzer sowie ihre Online-Aktivitäten aufzuspüren, indem sie einfach diese neue Technik implementieren.

Das Team umfasst mehrere Länder und Universitäten, darunter Forscher aus Israel, Frankreich und Australien, die ihre Ergebnisse online in einem Artikel auf Arxiv.org veröffentlicht haben. Sie zeigten Beispiele für die GPU-Fingerprinting-Technik, die auf der Tatsache beruht, dass keine Komponenten genau gleich sind – selbst wenn sie alle Teil desselben Modells sind und vom selben Hersteller hergestellt wurden.

Es gibt winzige Unterschiede in der Leistung, dem Stromverbrauch und den Verarbeitungsmöglichkeiten jeder Grafikkarte . DrawnApart macht sich dies zunutze, indem es feste Workloads verwendet, die auf der Web Graphics Library (WebGL) basieren. Dies ist eine plattformübergreifende JavaScript-basierte Anwendungsprogrammierschnittstelle (API), die für das Rendern von Grafiken in jedem kompatiblen Webbrowser verantwortlich ist.

Unter Verwendung von WebGL zielt DrawnApart auf die Shader der GPU mit einer speziellen Abfolge von Grafikoperationen ab, die speziell für diese Aufgabe erstellt wurden. Die Zeichenoperationen sind ultrapräzise und erleichtern den Forschern die Unterscheidung der Grafikkarten, auch von Karten gleichen Fabrikats und Modells.

Sobald die Aufgabe abgeschlossen ist, erzeugt die Technik eine genaue Spur mit Zeitmessungen, die enthält, wie lange die Karte benötigt, um Stall-Funktionen zu verarbeiten, Vertex-Renderings abzuschließen und mehr. Da das Timing für jede GPU individuell ist, führt dies dazu, dass die Einheit verfolgbar wird.

DrawnApart-Verfolgungsdauer-Diagramm.
DrawnApart: Diagramm der durchschnittlichen Nachverfolgungszeit nach Erfassungszeitraum.

Das Forschungsteam stellt fest, dass diese Technik ein hohes Maß an Genauigkeit bietet und eine Verbesserung gegenüber bestehenden Tracking-Methoden darstellt. Der Algorithmus wurde an einer großen Stichprobe von mehr als 2.500 einzigartigen Geräten und 371.000 Fingerabdrücken getestet, und die Forscher stellten eine Verbesserung von 67 % im Vergleich zur ausschließlichen Verwendung aktueller Fingerabdruckmethoden ohne DrawnApart fest. Im aktuellen Zustand kann DrawnApart in nur acht Sekunden einen Fingerabdruck von einer Grafikkarte erstellen.

Acht Sekunden sind ohnehin schon ultraschnell, aber es gibt Potenzial für noch genaueres und schnelleres Tracking durch die Verwendung neuerer, schnellerer APIs. Das Team testete stattdessen mit Compute-Shader-Vorgängen und stellte fest, dass die Ergebnisse jetzt zu 98 % genau waren und nur 150 Millisekunden in Anspruch nahmen.

Obwohl die Ergebnisse beeindruckend sind, ist es unmöglich zu leugnen, dass sie auch erschreckend sind. Wir haben uns alle daran gewöhnt, Cookies auf verschiedenen Websites abzulehnen, aber DrawnApart beweist, dass dies möglicherweise bald nicht mehr ausreicht. Das Forschungsteam ist sich auch des Missbrauchspotenzials bewusst, das der GPU-Fingerabdruck birgt.

„Dies ist eine wesentliche Verbesserung gegenüber der zustandslosen Verfolgung, die durch die Verwendung unserer neuen Fingerprinting-Methode erreicht wird. […] Wir glauben, dass dies praktische Bedenken hinsichtlich der Privatsphäre von Benutzern aufwirft, die Fingerabdrücken unterzogen werden“, sagten die Forscher in ihrem Artikel.

Da die GPU-Fingerprinting-Technik möglicherweise keine zusätzlichen Berechtigungen erfordert, könnten Benutzer ihr ausgesetzt werden, indem sie einfach im Internet surfen. Khronos, die für die WebGL-Bibliothek zuständige Organisation, sucht bereits nach Möglichkeiten, die böswillige Verwendung der Technik zu verhindern.