Un equipo internacional de investigadores de Francia, Israel y Australia ha desarrollado una nueva técnica que puede identificar usuarios con la firma que deja la tarjeta gráfica única y específica. Llamada DrawnApart, la investigación sirve como advertencia sobre las medidas de identificación más invasivas que los sitios web o los hackers tienen para recopilar datos sobre las actividades online de los usuarios en tiempo real.
La técnica se basa en las variaciones inherentes del hardware debido a la variabilidad en los procesos de fabricación y los componentes. Al igual que una huella digital humana no es idéntica a otra, ninguna CPU, GPU o cualquier otro elemento de consumo es idéntico entre sí. Esta es parte de la razón por la cual el overclocking de CPU y GPU varía incluso dentro del mismo modelo de producto. Esto, a su vez, significa que existen pequeñas variaciones individuales en el rendimiento, la potencia y las capacidades de procesamiento de cada tarjeta gráfica, lo que hace posible este tipo de identificación.
La técnica de huellas dactilares para las GPU presentada en la imagen de arriba, muestra dos GPU idénticas, produciendo resultados individuales diferentes. Esto, a su vez, puede atribuirse a la actividad online de un solo usuario.
El modelo creado por los investigadores utiliza cargas de trabajo fijas basadas en WebGL (biblioteca de gráficos web), la API multiplataforma que permite que las tarjetas gráficas representen gráficos en el navegador. Con esto, DrawnApart toma más de 176 mediciones en 16 puntos de puntos de recopilación de datos mediante la ejecución de operaciones relacionadas con GLSL (lenguaje de sombreado OpenGL), que evita que las cargas de trabajo se distribuyan entre unidades de trabajo aleatorias, lo que hace que los resultados sean repetibles y, como tales, individuales para cada GPU.
Pueden identificar tu GPU en solo 150 milisegundos
El documento detalla además que la implementación actual puede identificar con éxito una GPU en solo ocho segundos, pero advierten que las API de próxima generación permitir una identificación aún más rápida y precisa. WebGPU, por ejemplo, contará con soporte para operaciones de sombreado de cómputo que se ejecutarán a través del navegador. Los investigadores probaron el nuevo sistema de operaciones de sombreado y descubrieron que no solo aumentó enormemente la precisión al 98 %, sino que redujo el tiempo de identificación de 8 segundos a solo 150 milisegundos. Potencialmente, esto podría significar que simplemente haciendo un clic en un sitio web, las GPU de los consumidores se identifiquen, con todos los riesgos que ello conlleva para la privacidad personal y la ciberseguridad.
Como ya sabemos las legislación y las protecciones sobre las prácticas de seguimiento online son en su mayoría incompetentes para proteger a los usuarios de estas técnicas en particular.