Las claves de la huella dactilar de tu GPU: así pueden rastrear tu PC

Hemos visto de todo en los últimos años para promover un sencillo acto que al mismo tiempo y en según qué situaciones podría ser delictivo: seguimiento y rastreo de usuarios o PCs. Pues bien, como si de ciencia ficción se tratase y al más puro estilo Misión Imposible un grupo de investigadores ha dado con un método para usar la GPU o iGPU de tu PC y convertirla en una huella dactilar única que dejaría un rastro específico en Internet, de manera que pueden saber qué haces, cuándo lo haces y cómo lo haces, sea la actividad que sea. Así es DrawnApart.

Nada menos que 2550 dispositivos con la friolera de 1605 configuraciones de CPU distintas (con sus correspondientes iGPU) han dejado unos datos escalofriantes en cuanto a rastreo y seguridad se refiere. Una técnica que ha sido desarrollada por un equipo de investigadores de las universidades francesas, australianas e israelíes que permite rastrear tu PC con una duración media mejorada del 67%.

DrawnApart: así crea tu PC una huella dactilar con la GPU

DrawnApart-dispositivos

Cuando entras a un sitio web por ley tiene que saltar un aviso flotante o fijo sobre las famosas cookies, donde tenemos que dar nuestro consentimiento (o no) para poder entrar en dicha web o ver parte del contenido. Cada una lo gestiona de una forma, pero siempre se ha de pedir permiso, aunque realmente esto es solo una tapadera legal que deja mucho margen de maniobra a los más pícaros.

Una web puede recopilar hasta tu zona horaria o la versión de tu SO, por no hablar de idioma y mil cosas más, pero una vez que sales de dicha web el rastreamiento termina, al menos en teoría.

DrawnApart-navegador

¿Qué pasaría si no hiciese falta entrar en una web para poder rastrear un PC? Sería sin duda un problema, pero ¿y si además lo hiciese más rápido y mejor que los sistemas tradicionales donde no se pueda escapar de dicho rastreo mientras estemos en Internet? Que asusta y mucho.

Pues en esos márgenes se centró la investigación de estas tres universidades y el resultado es la creación de una huella dactilar distintiva que se basa en lo que tu iGPU o GPU hace y el cómo lo hace, siempre dentro de Internet.

WebGL es la clave, ¿amenaza real o simple ensayo?

DrawnApart-días

El sistema es rastreado mediante la GPU gracias a WebGL, una biblioteca de gráficos para Internet que tienen todos los navegadores, por lo que es imposible escapar al registro si buscamos algo en la nube. DrawnApart usa este para utilizar programas GLSL ejecutados por la tarjeta gráfica y en base a los cálculos que tiene que hacer se genera un patrón de carga de trabajo que es predecible y estandarizada para un PC en concreto, siendo más específicos para una GPU en concreto.

Dos modos de trabajo determinan la huella dactilar de la tarjeta gráfica: no intensivo y breve frente a otro más relajado y alargado en el tiempo. Con ello se generan 176 medidas tomadas de 16 puntos, lo que da un patrón (como el mostrado abajo) donde a simple vista y teniendo en cuenta que son el mismo modelo de gráfica estas ofrecen resultados diferentes y únicos.

DrawnApart-patrones

Además, los patrones no se ven afectados por reinicios, pestañas en el navegador o diferentes cambios, el rastreo continuará pase lo que pase y gracias al uso de GPU y no de CPU como tal se extiende desde 17,5 días a 28 días, lo que da para sacar tanta información y patrones que hace única a nuestra GPU, pudiendo seguirla por cualquier parte en Internet sin dudar de quién es.

Pero si esto no te parece alarmante, con WebGL 2.0 (ya en desuso) se descubrió que DrawnApart lograba una precisión en calificación de GPU del 98% en solo 150 ms, es decir, en menos de lo que tardamos en parpadear ya saben dónde está nuestra tarjeta gráfica y con ello nuestro PC en todo Internet.

La investigación ya está en manos del grupo Khronos, desarrolladores de WebGL, ya que aunque cambiemos de PC, cambiemos cualquier componente o software, la tarjeta gráfica será rastreada de forma casi inmediata. En definitiva, un atacante con DrawnApart tendría un rastreo completo sin que pudiésemos hacer nada, al menos hasta que se cambie la API.

Fuente > Arxiv.org

¡Sé el primero en comentar!