A Google a Chrome böngészőt rendszeresen népszerűsíti a kiemelkedő biztonsági funkcióival, azonban Alexander Hanff adatvédelmi szakértő szerint a valóság ennél árnyaltabb: a Chrome jelenleg nem nyújt érdemi védelmet az egyik legalapvetőbb és legelterjedtebb online követési módszerrel, az úgynevezett browser fingerprintinggel szemben. Ez az eljárás a felhasználók eszközeiről és böngészőjéről gyűjtött technikai jellemzők alapján hoz létre egyedi azonosítókat.

Hanff egy friss elemzésében hangsúlyozza, hogy jelenleg legalább harminc különböző browser fingerprinting technika működik aktívan a Chrome-ban. Nem elméleti, laboratóriumi körülmények között demonstrált támadásokról van szó, hanem széles körben, éles környezetben alkalmazott módszerekről, amelyeket weboldalak milliói használnak a felhasználók azonosítására és követésére, sokszor azok tudta és beleegyezése nélkül.

Amikor egy felhasználó meglátogat egy weboldalt, a böngészője számos technikai információt hagy hátra: például az operációs rendszer típusát, a képernyő felbontását, a telepített betűkészleteket. Ezek az adatok részben a böngésző és a webszerver közötti kommunikáció során kerülnek továbbításra, részben pedig a weboldalba ágyazott szkriptek és követőkódok révén válnak elérhetővé a szerver vagy a harmadik felek számára. Ezek kombinációja egyedi, stabil azonosítóvá állhat össze.

Körülbelül egy évtizeddel ezelőtt az Apple, a Mozilla és más, adatvédelemre fókuszáló böngészőfejlesztők hatékonyabb védelmeket vezettek be a cookie-alapú követés ellen. Ennek következtében a hirdetési iparág egyre inkább a fingerprinting felé fordult, amely lényegesen nehezebben blokkolható. A technológiát nemcsak marketing célokra, hanem például csalásfelderítésre is alkalmazzák.

Egy 2021-es kutatás (a Fingerprinting the Fingerprinters) kimutatta, hogy a fingerprinting a leglátogatottabb 100 ezer weboldal több mint 10%-án, a top 10 ezer oldal esetében pedig több mint egynegyedén jelen van. Bár a módszernek lehetnek legitim felhasználási esetei, komoly adatvédelmi kockázatot jelent. Ráadásul nem is feltétlenül szükséges hozzá sok technikai adat: egy, a Nature folyóiratban megjelent tanulmány szerint már az is elegendő lehet az emberek 95%-ának azonosításához, ha ismerjük a négy leggyakrabban látogatott weboldalukat. Ez az úgynevezett viselkedési ujjlenyomat.

A Google 2019-ben indította el a Privacy Sandbox kezdeményezést azzal a céllal, hogy nyílt szabványok révén javítsa a webes adatvédelmet, többek között a fingerprinting hatékonyságának csökkentésével. A Google akkor egyértelműen fogalmazott: fingerprinting során a fejlesztők apró, felhasználónként eltérő információkat, például eszköztípust vagy telepített fontokat kombinálnak egyedi azonosítók létrehozására, amely weboldalakon átívelő követést tesz lehetővé. A cookie-kkal ellentétben ezt a felhasználók nem tudják törölni, így nincs kontrolljuk az adatgyűjtés felett. A cég ezt akkor a felhasználói döntési szabadság aláásásának nevezte.

Azonban hat évnyi iparági ellenállás, technikai nehézségek és lobbitevékenység után a Google végül feladta a Privacy Sandbox projektet. Ez nem sokkal azután történt, hogy a vállalat álláspontja is változott: míg korábban elutasította, 2024 decemberére már elfogadhatónak tartotta, amennyiben azt megfelelően nyilvánosságra hozzák.

Bár egyesek számára ezek az adatvédelmi aggályok kevésbé tűnhetnek sürgetőnek egy olyan korban, amikor a felhasználók mesterséges intelligencia-alapú szolgáltatásoknak adnak hozzáférést személyes adataikhoz, a probléma nagyon is valós.

Hanff szerint a Chrome ebben a kontextusban különösen gyenge: gyakorlatilag nem tartalmaz beépített védelmet a fingerprintinggel szemben. Kiemeli, hogy más böngészők már kínálnak ilyen funkciókat: a Brave például a „farbling” névre keresztelt technikát alkalmazza, a Firefox pedig a „privacy.resistFingerprinting” beállítással csökkenti az azonosíthatóságot. Ezzel szemben a Chrome jelenleg nem nyújt hasonló védelmet, és a Privacy Sandbox 2025 áprilisi leállításával egyetlen, kifejezetten erre a problémára fókuszáló megoldás sem került bevezetésre.

A szakértő részletesen felsorolja a Chrome védelmi hiányosságait, többek között olyan technológiák kapcsán, mint a Canvas, WebGL, WebGPU, AudioContext, betűkészletek kezelése, navigációs és képernyőjellemzők, WebRTC-alapú IP-szivárgás, TLS sajátosságok, emoji-renderelés, beszédfelismerés és billentyűzetkiosztás. Emellett 23 különböző tárolási és követési mechanizmust is azonosít, például cookie-kat, bounce trackinget és CNAME cloakingot, amelyek együttesen lehetővé teszik a felhasználók folyamatos online nyomon követését.