Dấu vân tay WebAssembly: Cách trình duyệt biến thành máy ảo và bắt đầu nhận diện người dùng

Công nghệ mà hầu như không ai đề cập đến

Đôi khi, những thay đổi đáng chú ý nhất trên internet lại bắt đầu một cách lặng lẽ. Trong khi mọi người đang bận rộn với những cuộc tranh cãi xung quanh việc chặn JavaScript và các cài đặt quyền riêng tư “đúng đắn”, thì trong trình duyệt đã có một công cụ tồn tại được vài năm nay, công cụ này đang mở rộng ranh giới của những điều có thể. Đó là WebAssembly (Wasm): một cách để chạy mã trên web với tốc độ gần như bản địa.

Tôi gọi Wasm là “con thú mới” của web không chỉ vì một phép ẩn dụ hay ho. Với nó, trang web có được một lớp khả năng mới, bao gồm cả những điều mà người ta thường không thích nói ra: những cách mới để nhận diện người dùng.

Tại sao JavaScript không còn là nghi phạm chính nữa

Trong một thời gian dài, JavaScript là mục tiêu dễ dàng. Hàng chục cơ chế theo dõi và nhận dạng dựa vào nó, vì vậy Tor Browser mặc định chặn các tập lệnh, còn NoScript và các tiện ích mở rộng tương tự đã trở thành biểu tượng của «quyền riêng tư nghiêm ngặt».

Vấn đề là Wasm đang thay đổi cán cân. Nó không loại bỏ JavaScript, nhưng làm cho trình duyệt trở nên “tính toán” hơn đáng kể. Những quan niệm cũ về “trình duyệt an toàn” bắt đầu lung lay, bởi vì một phần các biện pháp hiện nay đã chuyển sang lĩnh vực mà những lệnh cấm đơn giản không còn hoạt động như bạn đã quen.

WebAssembly là gì và tại sao nó lại quan trọng

WebAssembly là một định dạng và môi trường thực thi cho phép chạy mã được biên dịch từ C, C++, Rust và các ngôn ngữ khác ngay trong trình duyệt. Nói một cách đơn giản hơn, trang web có thể truy cập vào các tính toán cấp thấp hơn so với JavaScript thông thường.

Từ đó mà tôi có câu nói yêu thích: trình duyệt có cơ hội trở thành «một chiếc máy tính mini bên trong máy tính». Về cơ bản, điều này được cảm nhận như một «chương trình gần như bình thường» trong cửa sổ tab: ví điện tử, ứng dụng nhắn tin, các công cụ chống gian lận phức tạp. Đúng vậy, so sánh với VirtualBox nghe có vẻ khiêu khích. Nhưng ý nghĩa rất đơn giản: trình duyệt đang tiến gần hơn đến phần cứng.

Dấu vân tay mới: khi tốc độ trở thành yếu tố nhận dạng

Điều thú vị nhất bắt đầu khi Wasm được sử dụng không phải vì sự tiện lợi, mà vì việc nhận dạng dấu vân tay.

Khi tôi nói về «số lượng dấu vân tay khổng lồ» thông qua WebAssembly, tôi không đề cập đến những công nghệ cũ như Canvas hay WebGL, mà nhiều người đã biết cách làm sai lệch. Điều quan trọng ở đây là những gì bạn thường coi là «chỉ là tốc độ»: hiệu suất và đặc tính thực thi.

Sơ đồ này trông gần như nực cười vì sự đơn giản của nó:

• JavaScript gọi các hàm WebAssembly.
• WebAssembly gọi lại JavaScript.
• Quá trình “ping-pong” này lặp lại nhiều lần.
• Bạn đo lường cách thức và tốc độ thực thi các thao tác giống nhau.

Tiếp theo, bạn chuyển đổi số liệu thống kê thành một mã định danh gọn nhẹ. Trong thực tế, điều này dễ dàng được đóng gói, ví dụ như trong SHA-256.

Độ chính xác đáng sợ

Nếu kết hợp mọi thứ một cách cẩn thận, phương pháp này có thể phân biệt người dùng với độ sai số dưới 1%.

Do đó, việc “thay đổi user-agent” trong bối cảnh này chỉ là một biện pháp mang tính hình thức. Khi động cơ và cơ sở hạ tầng phần cứng được phân tích thông qua hành vi tính toán, dòng trong tiêu đề yêu cầu hầu như không thay đổi được gì.

Trên thực tế, các bài kiểm tra như vậy có thể:

• phát hiện việc sử dụng máy ảo,
• phân biệt VPS và phần cứng máy chủ với máy tính cá nhân tại nhà,
• làm nổi bật sự khác biệt về loại CPU và đặc điểm tính toán.

Lưu ý quan trọng: có thể vượt qua. Nhưng thường thì đây không còn là chuyện “cài tiện ích mở rộng rồi quên đi”, mà là về sự hiểu biết kỹ thuật và việc tinh chỉnh tài nguyên một cách tinh tế. Đối với người dùng đại chúng, điều này thường là không khả thi.

Nơi nào đã áp dụng công nghệ này

Điều này không còn là “thí nghiệm” nữa ngay khi những cái tên cụ thể bắt đầu xuất hiện.

Theo những gì tôi quan sát, công nghệ này đã xuất hiện trong kho vũ khí của các nền tảng chống gian lận lớn, bao gồm:

• CyberSource
• PerimeterX

Cũng có những dấu hiệu cho thấy Microsoft là một trong những công ty đầu tiên bắt đầu triển khai Wasm-fingerprinting trên các tài nguyên của mình, bao gồm cả việc lọc các đăng ký trông giống như tự động hóa hoặc đến từ môi trường ảo hóa.

Tại sao đây sẽ trở thành dấu vân tay «hàng đầu»

Lý do rất đơn giản và không mấy dễ chịu:

• độ chính xác cao,
• tương đối dễ triển khai trong trình duyệt,
• liên kết với các đặc điểm phần cứng thực tế.

Nếu các trang web bắt đầu thu thập dữ liệu telemetry này trên quy mô lớn, nó sẽ nhanh chóng trở thành tiêu chuẩn nhận dạng khó có thể bỏ qua. Và không cần phải chờ đợi “một ngày nào đó”: Wasm đã có mặt trong trình duyệt từ lâu và đang được sử dụng.

Điều này dẫn đến kết luận gì

Nếu tóm gọn lại thành một ý chính, thì đó là: quyền riêng tư trên trình duyệt ngày càng ít phụ thuộc vào việc bỏ chọn các ô tick và ngày càng phụ thuộc nhiều hơn vào cách phần cứng hoạt động khi chịu tải.

WebAssembly được phát minh như một công cụ tăng tốc web. Trên thực tế, nó còn trở thành công cụ tăng tốc cho các hệ thống chống gian lận, vốn cần phân biệt người dùng với bot và thiết bị thực với môi trường ảo hóa.

Do đó, Wasm-fingerprinting — không phải là một “câu chuyện kinh dị” nữa, mà là một chủ đề đáng để hiểu ít nhất ở mức độ nguyên tắc. Trong tương lai, bạn sẽ gặp điều này ngày càng thường xuyên hơn, đặc biệt là ở những lĩnh vực có rủi ro cao: tài chính, các nền tảng lớn, đăng ký và bảo vệ chống lạm dụng.