Un team internazionale di ricercatori provenienti da Francia, Israele e Australia ha sviluppato una nuova tecnica che può identificare i singoli utenti in base alla loro specifica e unica firma della scheda grafica. Chiamata DrawnApart, la ricerca, fornita come “proof of concept”, serve come avvertimento verso misure di identificazione più invasive che i siti web o attori malintenzionati potrebbero prendere per raccogliere dati sulle attività online dei singoli utenti in tempo reale.
La tecnica si basa sulle variazioni intrinseche dell'hardware dovute alla variabilità dei processi di produzione e dei singoli componenti. Proprio come nessuna impronta digitale umana è identica ad un'altra, nessuna singola CPU, GPU o qualsiasi altro oggetto di consumo è identico ad un altro. Questo è parte della ragione per cui l'overclocking di CPU e GPU varia anche all'interno dello stesso modello da parte dei produttori. Questo, a sua volta, significa che ci sono minuscole variazioni individuali su prestazioni, potenza e capacità di elaborazione di ogni scheda grafica, rendendo possibile questo tipo di identificazione.
Il modello creato dai ricercatori fa uso di carichi di lavoro fissi basati su WebGL (web Graphics Library), l'API multipiattaforma che permette alle schede grafiche di renderizzare componenti grafiche nei browser. Attraverso di essa, DrawnApart prende più di 176 misurazioni attraverso 16 punti di raccolta dati eseguendo operazioni vertex relative a GLSL (OpenGL Shading Language), che impedisce ai carichi di lavoro di essere distribuiti su unità di lavoro casuali - rendendo i risultati ripetibili e, come tali, individuali per ogni GPU. DrawnApart può quindi misurare il tempo necessario per completare i rendering dei vertici, gestire le funzioni di stallo e altri carichi di lavoro specifici della grafica.
Secondo il team di ricerca, questo è il primo studio che esplora la variazione della produzione di semiconduttori in un contesto di privacy, dicendo che "sul fronte pratico, dimostra una tecnica robusta per distinguere tra macchine con identiche configurazioni hardware e software", e ha aggiunto che può aumentare "la durata mediana di tracciamento al 67% rispetto agli attuali metodi [di fingerprinting online] all'avanguardia".
Il documento spiega che l'attuale implementazione può riuscire a identificare una GPU in soli otto secondi, ma avverte che le API next-gen in sviluppo per la prossima evoluzione del world wide web potrebbero consentire un fingerprinting ancora più veloce e preciso. WebGPU, per esempio, presenterà il supporto per le operazioni di compute shader da eseguire attraverso il browser. I ricercatori hanno testato un approccio compute shader al suo processo di identificazione DrawnApart e hanno scoperto che non solo la precisione è stata enormemente aumentata al 98%, ma che ha ridotto il tempo di identificazione da 8 secondi attraverso i vertex shader fino a soli 150 millisecondi con la soluzione di calcolo. Potenzialmente, questo potrebbe significare che un semplice clic sbagliato su un sito web potrebbe essere sufficiente per identificare singolarmente le GPU dei consumatori, con tutti i rischi che questo comporta per la privacy personale e la sicurezza informatica. Inoltre, la legislazione e le protezioni sulle pratiche di tracciamento online sono per lo più incompetenti nel proteggere gli utenti da questa particolare tecnica.
Khronos, l'organizzazione no-profit responsabile dello sviluppo della libreria WebGL, ha già formato un gruppo tecnico che sta esplorando soluzioni per mitigare la tecnica. Il team di ricerca nel suo documento ha già delineato alcune potenziali soluzioni per il problema (tra cui la prevenzione dell'esecuzione parallela, i cambiamenti di valore degli attributi, il blocco degli script, il blocco delle API e la prevenzione della misurazione del tempo) che saranno probabilmente esplorate dall'organizzazione nel tentativo di frenare questo potenziale assalto alla privacy degli utenti online.