Cómo eludir la protección avanzada contra huellas de audio en Safari 17

Identificación mediante audio

• La técnica de identificación por audio usa la API de audio del navegador para generar una señal de audio y luego suma todas las muestras de esa señal generada para convertirlas en un solo número.
• Este número se usa como huella digital (identificador) y se mantiene estable incluso si se borran las cookies o se cambia al modo incógnito.
• Sin embargo, el identificador no es extremadamente único, por lo que muchos usuarios pueden compartir el mismo identificador.

Cómo Safari 17 interfiere con la huella de audio

• Safari 17 introdujo una protección avanzada contra huellas digitales, activada por defecto en el modo de navegación privada y desactivada en el modo normal.
• Esta protección agrega ruido aleatorio a cada muestra de audio para reducir la precisión de la huella.
• Como resultado, la huella de audio cambia cada vez que se calcula, por lo que deja de servir para identificar.

Cómo eludir la protección avanzada contra huellas en Safari 17

• Tres pasos para mejorar el algoritmo de huella y eliminar el ruido que agrega Safari: reducir la dispersión del ruido, ampliar la separación entre los identificadores del navegador y redondear la huella para eliminar el ruido restante.
• Para reducir el ruido, se combinan varias huellas de audio y se modifica la señal base para aumentar las diferencias entre las muestras de audio de distintos navegadores.
• Para estabilizar el resultado, se redondean las muestras de audio conservando las cifras importantes.

Rendimiento

• El nuevo algoritmo de huella de audio rinde entre 1.5 y 2 veces peor que el algoritmo anterior, pero aun así requiere poco tiempo de cálculo incluso en dispositivos de bajo rendimiento.
• Parte del trabajo se procesa en el hilo OfflineAudioRender para que la página mantenga su capacidad de respuesta.

Cómo funciona en navegadores enfocados en la privacidad

• Navegadores centrados en la privacidad, como Tor y Brave, también intentan limitar la huella de audio.
• En Tor, la Web Audio API está completamente deshabilitada, por lo que la huella de audio no es posible.
• Brave usa un enfoque similar al de Safari 17 y agrega ruido a la señal de audio.

Uso en FingerprintJS

• El nuevo algoritmo de huella de audio reemplaza al algoritmo anterior en FingerprintJS.
• La huella de audio es solo una de muchas señales usadas para generar la huella del navegador, y la estabilidad y singularidad de cada señal se analizan por separado para determinar su impacto en la precisión de la huella.

Opinión de GN⁺

• La función de Safari 17 que interfiere con la huella de audio muestra el esfuerzo de Apple por reforzar la privacidad de los usuarios. Esto puede ofrecer una mayor privacidad para las personas usuarias.
• Sin embargo, servicios como FingerprintJS siguen permitiendo la identificación al eludir estas protecciones, lo que pone en evidencia la tensión permanente entre privacidad y seguridad.
• Hace falta una discusión adicional sobre cómo puede aprovecharse esta tecnología en ciberseguridad. Por ejemplo, podría usarse para prevenir fraude y proteger cuentas de usuario.
• Otros proyectos de código abierto con funciones similares incluyen Privacy Badger y uBlock Origin, que pueden ayudar a bloquear el rastreo de usuarios.
• Al adoptar esta tecnología, es importante encontrar un equilibrio entre la privacidad de las personas usuarias y las necesidades de seguridad de los sitios web. El beneficio potencial es una mayor precisión en la identificación, pero también debe considerarse el riesgo de invadir la privacidad.