Cyberthreat.id – Peneliti ungkap ekstensi Google Chrome dapat digunakan untuk melacak pengguna secara online.

Dikutip dari Info Security Magazine, peneliti sekaligus pengembang web yang dikenal dengan nama “z0ccc” baru-baru ini membuat situs web yang dirancang untuk menghasilkan fingerprint perangkat berdasarkan ekstensi Google Chrome yang dipasang di browser yang dikunjungi.

Dalam wawancara khusus, z0ccc mengatakan meskipun situs web tidak menyimpan fingerprint dari perangkat yang dikunjungi. Namun, pengujian menunjukkan bahwa informasi dapat berpotensi digunakan oleh aktor jahat untuk melacak pengguna.

Dari sudut pandang teknis, tindakan fingerprint ini dimungkinkan karena fitur ekstensi browser Chrome yang memungkinkan pengembang mendeklarasikan aset tertentu sebagai sumber daya yang dapat diakses web untuk halaman web dan ekstensi lainnya. Oleh karena itu, sumber daya yang dapat diakses melalui web dapat digunakan untuk memeriksa ekstensi yang diinstal dan menghasilkan fingerprint pengguna yang berkunjung berdasarkan kombinasi ekstensi yang diinstal.

“Ekstensi biasanya menggunakan fitur ini untuk mengekspos gambar atau aset lain yang perlu dimuat di halaman web, tetapi aset apa pun yang termasuk dalam bundel ekstensi dapat dibuat dapat diakses web,” tulis z0ccc di halaman Github yang didedikasikan untuk proyek tersebut.

Menurutnya, beberapa ekstensi menggunakan token rahasia yang mencegah deteksi, tetapi ada metode perbandingan waktu sumber daya yang masih dapat digunakan untuk mendeteksi jika ekstensi dipasang. Sumber daya ekstensi yang dilindungi akan memakan waktu lebih lama untuk diambil daripada sumber daya ekstensi yang tidak dipasang.

“Dengan membandingkan perbedaan waktu, Anda dapat secara akurat menentukan apakah ekstensi yang dilindungi dipasang.”

Peneliti juga menjelaskan bahwa metode ini tidak berfungsi di Firefox karena ID ekstensi browser unik untuk setiap instance browser. Tekniknya, di sisi lain, harus bekerja pada ekstensi Microsoft Edge, kata z0ccc, tetapi tidak menggunakan alatnya, yang hanya mendeteksi ekstensi dari Toko Web Chrome.

Z0ccc menambahkan bahwa meskipun informasi yang dikumpulkan menggunakan metode ini mungkin tidak selalu dapat digunakan untuk sidik jari pengguna pada tingkat granular, bila dikombinasikan dengan titik data operasi seperti OS, plugin aktif, zona waktu dan bahasa, pelacakan pengguna menjadi lebih mudah dan lebih akurat secara eksponensial.