裝置指紋是什麼？

本文的裝置指紋，是指用於識別裝置的唯一特徵。

常用於使用者身份識別、WEB安全防護等領域。

裝置指紋是怎麼偽造的？

裝置指紋是可以被偽造和篡改的，比如透過瀏覽器外掛，常可以實現這一點，如：Canvas Fingerprint Defender。

偽造或篡改的原理，是透過攔截JS某些函式，對函式返回結果做修改，使本該返回固定資料的函式，返回成不固定的資料，因為裝置指紋的獲取是透過JS取資訊實現的，只要資料變得不固定，將可能影響指紋的正確獲得，這樣就實現了裝置指紋的偽造。

例如：Canvas是裝置指紋是最常用的指紋維度，而給瀏覽器安裝Canvas Fingerprint Defender後，它會有如下行為：

var inject = function （） {

const toBlob = HTMLCanvasElement。prototype。toBlob；

const toDataURL = HTMLCanvasElement。prototype。toDataURL；

const getImageData = CanvasRenderingContext2D。prototype。getImageData；

//

var noisify = function （canvas， context） {

const shift = {

‘r’： Math。floor（Math。random（） * 10） - 5，

‘g’： Math。floor（Math。random（） * 10） - 5，

‘b’： Math。floor（Math。random（） * 10） - 5，

‘a’： Math。floor（Math。random（） * 10） - 5

}；

//

const width = canvas。width， height = canvas。height；

const imageData = getImageData。apply（context， ［0， 0， width， height］）；

for （let i = 0； i < height； i++） {

for （let j = 0； j < width； j++） {

const n = （（i * （width * 4）） + （j * 4））；

imageData。data［n + 0］ = imageData。data［n + 0］ + shift。r；

imageData。data［n + 1］ = imageData。data［n + 1］ + shift。g；

imageData。data［n + 2］ = imageData。data［n + 2］ + shift。b；

imageData。data［n + 3］ = imageData。data［n + 3］ + shift。a；

}

}

//

window。top。postMessage（“canvas-fingerprint-defender-alert”， ‘*’）；

context。putImageData（imageData， 0， 0）；

}；

//

Object。defineProperty（HTMLCanvasElement。prototype， “toBlob”， {

“value”： function （） {

noisify（this， this。getContext（“2d”））；

return toBlob。apply（this， arguments）；

}

}）；

//

Object。defineProperty（HTMLCanvasElement。prototype， “toDataURL”， {

“value”： function （） {

noisify（this， this。getContext（“2d”））；

return toDataURL。apply（this， arguments）；

}

}）；

//

Object。defineProperty（CanvasRenderingContext2D。prototype， “getImageData”， {

“value”： function （） {

noisify（this。canvas， this）；

return getImageData。apply（this， arguments）；

}

}）；

//

document。documentElement。dataset。cbscriptallow = true；

}；

從程式碼中可以發現，它重定義了toBlob，toDataURL，getImageData三個函式。當js呼叫這三個函式時，Canvas繪製出的圖案rgba通道都會被加入隨機擾動。這就會導致Canvas每次繪製出的圖案會變化。那麼，JS從canvas獲取到的指紋就再唯一了。

如何檢測指紋偽造？

從裝置指紋的角度，該如何對抗這種瀏覽器外掛造成的指紋篡改和偽造呢？

通用的方法是看這個函式的定義能否toString（）。如果一個函式的定義是［native code］，那麼說明是該函式原生的，未被修改過的。

var canvas_test = document。createElement（‘canvas’）；canvas_test。toDataURL。toString（）；

反之，如果如果不是原重的，是一個自定義函式，說明該方法是被修改過的，可以視為指紋被偽造了。

同樣的方法，也可以用於檢測其它更多函式。