绕过 Safari 17 的高级音频指纹保护

指纹识别的目的与伦理

  • 许多人反对一家销售指纹识别技术的公司在声称这是为了欺诈检测的同时,却发布“如何绕过隐私保护”的指南。
  • 有人强烈担心,用户不想被追踪的偏好会以反欺诈之名被压倒,这种做法被比作为窃听或攻击加密辩护。
  • 也有人认为某些指纹识别确实对支付、滥用防护和欺诈检测有用,但也承认它很容易被重新用于广告和画像。
  • 一些人认为该供应商的演示和定价更偏向营销/个性化,而“仅用于欺诈”的说法被视为掩饰或自我保护。

技术讨论:音频指纹识别与 Safari 17

  • Safari 的保护会向 Web Audio 输出添加随机、均匀的噪声。
  • 评论者指出这很弱:采样足够多时,攻击者可以平均掉噪声并恢复底层的确定性差异。
  • 不同浏览器之间的差异来自浮点行为、实现细节、SIMD 代码路径、操作系统库,以及 Web Audio 振荡器中的抗锯齿选择。
  • 建议包括:按源(origin)或按时间轮换的、由密钥派生的确定性噪声;或者在浏览器之间完全标准化确定性的音频算法。

更广泛的 Web API 与浏览器设计问题

  • 对向每个网站暴露丰富的音频、GPU 和类似 API 存在强烈怀疑;许多人认为这受 Chrome/Google 和类应用式 Web 目标驱动。
  • 有些人希望这些 API 置于明确权限之后,或者通过可选的“丰富 JS 引擎”提供,而普通浏览仅保留基本的 DOM/XHR。
  • 另一些人反驳说,权限弹窗很烦人、常被忽略,本身也会损害用户体验。

其他指纹向量与防御

  • 单靠音频指纹识别通常只能缩小到浏览器/操作系统/硬件类别,但可与 IP、屏幕、时序、WebGL/GPU 等结合,变得高度可识别。
  • GPU/WebGL 指纹识别(例如 DrawnApart)被提及为另一种强有力的向量。
  • 禁用 Web Audio/WebGL/JS 或使用不寻常设置本身可能会让用户更独特。Tor 和 Mullvad 浏览器旨在实现单一共享指纹,但效果取决于采用率。

法律、政策与未来方向

  • 有些人希望至少将广告用途的指纹识别定为非法;另一些人指出,这在法律上很难定义,而且监管机构可能会允许其用于欺诈/滥用/CP 检测。
  • 多条评论认为,隐私需要更强的法律明确化,因为单靠技术对抗只是一场无尽且注定失败的军备竞赛。