DRAWNAPART：使用GPU指纹来追踪在线用户

研究人员使用GPU指纹来追踪在线用户。

浏览器指纹可以通过在浏览器内执行脚本来识别用户或用户设备，收集用户软件或硬件特征，因此也可以用来追踪用户。来自法国、以色列和澳大利亚的研究人员发现可以使用GPU来创建唯一的指纹，使用GPU指纹可以对用户在线行为进行追踪。

DrawnApart

WebGL是浏览器中渲染3D图像的跨平台API，存在于所有的主流web浏览器中。研究人员提出可以通过WebGL来创建被追踪系统的GPU的独特指纹信息。

通过WebGL库，DrawnApart追踪系统可以计算GPU中执行单元的计数和速度，度量完成订单渲染、处理stall函数等任务的时间。

使用GPU指纹来进行持续追踪

DrawnApart使用目标GPU执行的短GLSL程序来克服处理计算的随机执行单元的挑战。因此，负载分配是可预测和标准化的。

研究人员开发了2种测试方法：on-screen方法和off-screen方法。on-screen方法会执行少量计算密集型任务；off-screen方法会通过更长时间、不那么密集的任务来对GPU进行测试。

这一过程会生成包含16个点的176个度量的指纹痕迹信息。个人也可以从视觉效果看出不同GPU设备明显的指纹痕迹信息的差异。

2个相同GPU的原始痕迹信息

研究人员还交换了其他硬件部分来确定这些痕迹信息是否会发生变化，最终发现这些指纹信息只与GPU有关。

即使同一厂商、同一生产线生产具有相同计算功率、相同处理单元数、相同核心数和相同架构的集成电路，每个电路的指纹也是不同的。此外，这些差异在每天的日常操作中是不可区分的，但是却可以作为指纹用于追踪系统中。测试设备和分类的准确率如下所示：

测试设备和分类的准确率

研究人员将DrawnApart 与主流的追踪算法相结合，平均追踪用户的准确提高了67%。如下图所示，单个追踪算法可以实现平均追踪时间17.5天，在GPU指纹的帮助下，可以扩展到28天。

追踪持续时间

测试的GPU操作温度范围是26.4-27度，没有电压的变化。除了这些条件外，工作负载的变化、GPU payload、系统重启、其他运行时变化等都不会影响DrawnApart。

这是首个依赖GPU生产过程汇总的微小变化来创建浏览器指纹的研究，相关研究成果已被网络安全顶级会议NDSS 2022录用。论文原文参见：https://arxiv.org/pdf/2201.09956.pdf