Pesquisadores dizem que sua GPU pode expor informações privadas online

Em uma era de maior conscientização sobre privacidade online, muitos de nós estão conscientes de nossas impressões digitais e preferem não ser rastreados. No entanto, pode não ser tão simples quanto parecia anteriormente.

Uma equipe internacional de pesquisadores descobriu que os usuários podem ser rastreados por suas placas gráficas. Isso é feito por meio de uma nova técnica chamada “GPU fingerprinting”.

Um exemplo da técnica de impressão digital da GPU.
Um exemplo da técnica de impressão digital de GPU mostrando duas GPUs idênticas que ainda produzem resultados diferentes.

Essa nova tecnologia, chamada DrawnApart pelos pesquisadores e relatada pela primeira vez pela Bleeping Computer, se baseia nas pequenas diferenças entre cada peça de hardware para fazer uma distinção que a liga a um determinado usuário. Por meio de uma série de identificadores, os pesquisadores descobrem que podem rastrear usuários individuais, bem como suas atividades online, apenas implementando essa nova técnica.

A equipe abrange vários países e universidades, incluindo pesquisadores de Israel, França e Austrália, que publicaram suas descobertas online em um artigo no Arxiv.org. Eles apresentaram exemplos da técnica de impressão digital da GPU, que se baseia no fato de que nenhum componente é exatamente o mesmo – mesmo que todos façam parte do mesmo modelo e tenham sido fabricados pelo mesmo fabricante.

Existem pequenas diferenças no desempenho, consumo de energia e capacidades de processamento de cada placa gráfica . O DrawnApart tira proveito disso usando cargas de trabalho fixas baseadas na Web Graphics Library (WebGL). Esta é uma interface de programação de aplicativos (API) baseada em JavaScript de plataforma cruzada responsável por renderizar gráficos em qualquer navegador da Web compatível.

Usando WebGL, o DrawnApart tem como alvo os shaders da GPU com uma sequência especial de operações gráficas que foram feitas especificamente para essa tarefa. As operações de desenho são ultraprecisas e facilitam para os pesquisadores diferenciar as placas gráficas, e isso inclui placas da mesma marca e modelo.

Depois que a tarefa é concluída, a técnica produz um rastreamento preciso com medições de tempo que incluem quanto tempo leva para a placa lidar com funções de estol, renderizações de vértices completas e muito mais. Como o tempo é individual para cada GPU, isso resulta em tornar a unidade rastreável.

Diagrama de duração de rastreamento DrawnApart.
DrawnApart: Gráfico de tempo médio de rastreamento por período de coleta.

A equipe de pesquisa descobriu que essa técnica fornece um alto grau de precisão e é uma melhoria em relação aos métodos de rastreamento existentes. O algoritmo foi testado em uma grande amostra de mais de 2.500 dispositivos únicos e 371.000 impressões digitais, e os pesquisadores notaram uma melhoria de 67% em comparação com o uso apenas dos métodos atuais de impressão digital sem o DrawnApart. Em seu estado atual, o DrawnApart pode imprimir a impressão digital de uma placa gráfica em apenas oito segundos.

Oito segundos é ultrarrápido, mas há potencial para rastreamento ainda mais preciso e rápido por meio do uso de APIs mais recentes e mais rápidas. A equipe testou usando operações de shader de computação e descobriu que os resultados agora eram até 98% precisos e levavam apenas 150 milissegundos para serem alcançados.

Embora as descobertas sejam impressionantes, é impossível negar que também são aterrorizantes. Todos nós nos acostumamos a recusar cookies em vários sites, mas DrawnApart prova que em breve pode não ser suficiente. A equipe de pesquisa também está ciente do potencial de uso indevido que a impressão digital da GPU representa.

“Esta é uma melhoria substancial no rastreamento sem estado, obtido através do uso de nosso novo método de impressão digital. […] Acreditamos que isso levanta preocupações práticas sobre a privacidade dos usuários submetidos à impressão digital”, disseram os pesquisadores em seu artigo.

Como a técnica de impressão digital da GPU pode não exigir permissões adicionais, os usuários podem estar sujeitos a ela simplesmente navegando na Internet. Khronos, a organização responsável pela biblioteca WebGL, já está explorando maneiras de impedir que a técnica seja usada de forma maliciosa.