GN⁺: 사파리 17의 고급 오디오 지문 인식 보호 기능 우회

오디오를 통한 식별

• 오디오 식별 기법은 브라우저의 오디오 API를 사용하여 오디오 신호를 생성하고, 이를 통해 생성된 오디오 신호 샘플을 모두 더하여 단일 숫자로 변환하는 방식.
• 이 숫자는 지문(식별자)으로 사용되며, 쿠키를 지우거나 시크릿 모드로 전환해도 변하지 않는 안정성을 가짐.
• 그러나 식별자는 매우 독특하지 않아 많은 사용자가 동일한 식별자를 가질 수 있음.

Safari 17이 오디오 지문 인식을 방해하는 방법

• Safari 17은 고급 지문 인식 보호 기능을 도입하여, 개인 정보 보호 모드에서 기본적으로 활성화되고 일반 모드에서는 비활성화됨.
• 이 보호 기능은 오디오 샘플마다 임의의 노이즈를 추가하여 지문의 정확성을 떨어뜨림.
• 결과적으로 오디오 지문은 매번 계산할 때마다 달라지므로, 식별을 위해 사용할 수 없게 됨.

Safari 17의 고급 지문 인식 보호 우회 방법

• Safari가 추가하는 노이즈를 제거하기 위해 지문 인식 알고리즘을 개선하는 세 단계: 노이즈 분산 감소, 브라우저 식별 번호 간격 확대, 남은 노이즈 제거를 위한 지문 반올림.
• 노이즈 감소를 위해 여러 오디오 지문을 결합하고, 브라우저 간 오디오 샘플 차이를 늘리기 위해 기본 신호를 변경함.
• 결과를 안정화하기 위해 중요한 숫자를 유지하면서 오디오 샘플을 반올림함.

성능

• 새로운 지문 인식 알고리즘은 기존 알고리즘에 비해 성능이 1.5-2배 정도 저하되지만, 여전히 낮은 성능의 장치에서도 계산 시간이 적게 걸림.
• 페이지가 응답성을 유지하도록 OfflineAudioRender 스레드에서 일부 작업을 처리함.

개인 정보 보호에 중점을 둔 브라우저에서의 작동 방식

• Tor와 Brave와 같은 개인 정보 보호에 중점을 둔 브라우저도 오디오 지문 인식을 제한하려고 시도함.
• Tor에서는 Web Audio API가 완전히 비활성화되어 오디오 지문 인식이 불가능함.
• Brave는 Safari 17과 유사한 접근 방식을 사용하여 오디오 신호에 노이즈를 추가함.

FingerprintJS에서의 사용

• 새로운 오디오 지문 인식 알고리즘이 FingerprintJS에서 기존 알고리즘을 대체함.
• 오디오 지문 인식은 브라우저 지문을 생성하기 위해 사용되는 많은 신호 중 하나이며, 각 신호의 안정성과 독특성을 별도로 분석하여 지문 정확도에 미치는 영향을 결정함.

GN⁺의 의견

• Safari 17의 오디오 지문 인식 방해 기능은 사용자의 개인 정보 보호를 강화하려는 Apple의 노력을 보여줌. 이는 사용자에게 더 큰 프라이버시를 제공할 수 있음.
• 그러나 FingerprintJS와 같은 서비스는 이러한 보호 기능을 우회하여 여전히 식별을 가능하게 함으로써, 프라이버시 보호와 보안 간의 지속적인 긴장 관계를 드러냄.
• 이 기술이 사이버 보안에서 어떻게 활용될 수 있는지에 대한 추가적인 논의가 필요함. 예를 들어, 부정 행위를 방지하고 사용자 계정을 보호하는 데 사용될 수 있음.
• 비슷한 기능을 제공하는 다른 오픈소스 프로젝트로는 Privacy Badger나 uBlock Origin이 있으며, 이들은 사용자 추적을 차단하는 데 도움을 줄 수 있음.
• 기술의 도입 시 사용자의 프라이버시와 웹사이트의 보안 요구 사이에서 균형을 찾는 것이 중요함. 이 기술을 사용함으로써 얻을 수 있는 이점은 사용자 식별의 정확성 향상이지만, 프라이버시 침해의 위험도 고려해야 함.