차등 테스트를 활용한 브라우저 핑거프린팅 식별 도구 설계

Abstract

브라우저 핑거프린팅은 브라우저에서 제공하는 기능을 활용하여 웹 클라이언트를 식별하기 위한 일련의 정보들을 수집하는 행위를 의미한다. 브라우저 핑거프린팅은 브라우저에서 제공하는 기능을 통해 수행되며, 특히 브라우저의 구성 요소 중 자바스크립트 코드 수행을 위한 자바스크립트 엔진과 웹 컨텐츠를 클라이언트에게 보여주기 위한 작업을 수행하는 렌더링 엔진을 중심으로 많은 기능들을 제공하고 있다. 브라우저에서 제공하는 기능을 통해 브라우저 핑거프린팅이 수행되는 만큼 해당 기능들에 대한 전반적인 이해와 분석이 요구된다. 이에 본 논문에서는 브라우저 핑거프린팅에 활용될 수 있는 핑거프린팅 벡터를 식별할 수 있는 도구를 제안하였다. 문법적으로 올바르면서도 랜덤 테스팅을 통한 브라우저 입력 생성을 통해 자바스크립트 API를 테스트할 수 있는 것과 동시에 차등 테스트를 수행함으로써 유저의 도움 없이 자바스크립트 API의 브라우저 핑거프린팅 활용 가능성 여부를 식별할 수 있도록 설계하였다. 그 결과 75개의 클라이언트의 브라우저 종류 또는 버전 관련 정보를 유추할 수 있는 브라우저 핑거프린팅 벡터를 찾았다.

Browser fingerprinting refers to the act of collecting and managing a series of information to identify web clients by utilizing functionalities provided by browsers. A browser supports many kinds of APIs through javascript engine for executing javascript code and rendering engine for displaying web contents to clients. Because the browser fingerprinting can be performed by executing these APIs, we have to analyze APIs' functionalities provided by browser in terms of a user privacy. In this paper, we proposed a tool that can identify Javascript APIs that can be used as browser fingerprinting vectors. It can test Javascript APIs by generating syntactically correct HTML inputs. Also, it can identify browser fingerprinting automatically by performing differential testing. As a result, we found 75 browser fingerprinting vectors that can infer browser type or version-related information.