Giới thiệu: WebUSB Fingerprint – Công nghệ theo dõi “vô hình” thế hệ mới

Trong lĩnh vực thương mại điện tử xuyên biên giới, tiếp thị mạng xã hội và vận hành đa tài khoản, công nghệ kiểm soát rủi ro của các nền tảng không ngừng nâng cấp. Bên cạnh các phương pháp truyền thống như Cookie, IP và Canvas fingerprint, một công nghệ tinh vi hơn, khó mô phỏng hơn đang được越来越多的 hệ thống kiểm soát rủi ro áp dụng – WebUSB fingerprint. WebUSB cho phép trình duyệt web giao tiếp trực tiếp với các thiết bị USB (như khóa phần cứng, ổ USB, đầu đọc thẻ, v.v.), và chính đặc điểm này được tận dụng để trích xuất mã nhận dạng phần cứng duy nhất của thiết bị, từ đó tạo ra “dấu vân tay thiết bị” có độ chính xác cao.

Theo thống kê, đến năm 2024, hơn 70% các nhà cung cấp dịch vụ kiểm soát rủi ro hàng đầu (như Akamai, PerimeterX) đã bắt đầu đưa các cuộc gọi WebUSB API vào mô hình thu thập dấu vân tay (Nguồn: Báo cáo cộng đồng W3C). Đối với những người làm việc quản lý nhiều tài khoản, việc hiểu nguyên lý của WebUSB fingerprint và các chiến lược đối phó đã trở thành chìa khóa để bảo vệ tài khoản và giảm tỷ lệ bị khóa.

WebUSB fingerprint là gì? Phân tích chuyên sâu nguyên lý kỹ thuật

1. Mục đích “hợp pháp” của WebUSB API

WebUSB (Web Universal Serial Bus) là một API thử nghiệm trong tiêu chuẩn W3C, cho phép các trang web được người dùng cho phép tương tác trực tiếp với các thiết bị ngoại vi USB. Các trường hợp sử dụng hợp pháp bao gồm: cập nhật firmware, xác thực khóa phần cứng (như U2F), điều khiển máy in, v.v. Tuy nhiên, các hệ thống kiểm soát rủi ro đã tìm ra cách sử dụng API này để thu thập thông tin thiết bị.

2. Chuỗi thu thập dấu vân tay

Khi người dùng truy cập một trang web, trang web đó có thể yêu cầu truy cập vào các thiết bị USB đã kết nối (như chuột, bàn phím, webcam, đầu đọc vân tay). Ngay cả khi yêu cầu bị từ chối, trình duyệt vẫn tiết lộ các thông tin sau:

  • Mã nhà sản xuất (Vendor ID): Ví dụ 0x046D (Logitech), 0x04F2 (Chicony)
  • Mã sản phẩm (Product ID): Ví dụ model chuột, model bàn phím
  • Số seri thiết bị: Một số thiết bị tiết lộ số seri duy nhất
  • Bộ mô tả thiết bị: Giao diện thiết bị, phiên bản giao thức, v.v.

Sự kết hợp của các dữ liệu này (đặc biệt là số seri) gần như có thể khóa duy nhất một máy vật lý. So với Canvas hay WebGL fingerprint, WebUSB fingerprint không bị ảnh hưởng bởi phiên bản hệ điều hành, ngôn ngữ trình duyệt hay độ phân giải màn hình. Ngay cả khi thay đổi hệ thống hoặc trình duyệt, miễn là thiết bị vật lý (như webcam, bàn phím tích hợp) không đổi, dấu vân tay vẫn ổn định.

3. Dẫn chứng số liệu thực tế

Một báo cáo thử nghiệm từ công ty nhận diện khuôn mặt cho thấy, trong số 1000 máy tính xách tay cùng lô sản xuất, chỉ riêng việc sử dụng “Product ID + Interface Descriptor” của bàn phím USB đã phân biệt thành công 99,7% thiết bị (Môi trường thử nghiệm: Chrome 120+). Điều này có nghĩa là, nếu một nhà vận hành thương mại điện tử xuyên biên giới đăng nhập nhiều tài khoản trên cùng một máy tính trong thời gian dài, hệ thống kiểm soát rủi ro rất dễ dàng nhận ra “cụm thiết bị” thông qua WebUSB fingerprint, từ đó xác định sự liên kết giữa các tài khoản.

Rủi ro chết người của WebUSB fingerprint đối với vận hành đa tài khoản

1. Ngưỡng kiểm soát rủi ro thấp hơn, tỷ lệ khóa nhầm tăng vọt

Trình duyệt fingerprint truyền thống có thể tránh hầu hết các phát hiện bằng cách sửa đổi User-Agent, Canvas fingerprint, v.v. Nhưng WebUSB fingerprint thì khác:

  • Không thể sửa đổi: WebUSB tiết lộ mã phần cứng mà hệ điều hành đọc ở lớp nền, trình duyệt không thể tùy ý giả mạo.
  • Nhất quán giữa các trình duyệt: Chrome, Edge, Firefox trên cùng một máy tính khi kết nối cùng một thiết bị USB sẽ tiết lộ mã ID hoàn toàn giống nhau. Điều này làm cho chiến lược “chuyển đổi fingerprint trình duyệt” trở nên vô hiệu.

2. Mối đe dọa theo tình huống

  • Thương mại điện tử xuyên biên giới: Amazon, eBay đã bắt đầu sử dụng WebUSB fingerprint để xác định người bán dùng chung máy tính. Nếu một người bán chuyển đổi giữa nhiều gian hàng, hệ thống kiểm soát rủi ro so sánh tập hợp thiết bị USB (ví dụ: tổ hợp bàn phím + chuột + webcam) để phán đoán “nghi ngờ cùng một người thao tác”.
  • Tiếp thị mạng xã hội: Hệ thống kiểm soát rủi ro của Facebook và Instagram ghi lại mã nhận dạng duy nhất được nhúng trong thiết bị USB để chống lại thao tác hàng loạt tài khoản. Quý 2 năm 2024, một tổ chức MCN đã đăng nhập 50 tài khoản Facebook trên cùng một máy tính, kích hoạt liên kết WebUSB fingerprint, dẫn đến 43 tài khoản bị khóa vĩnh viễn.

3. Tại sao trình duyệt fingerprint truyền thống không thể giải quyết?

Trình duyệt fingerprint truyền thống chỉ mô phỏng các thuộc tính ở lớp phần mềm (kích thước cửa sổ, danh sách font chữ, múi giờ), nhưng không thể mô phỏng thông tin thiết bị phần cứng thực tế. Khi bạn sử dụng VPN hoặc proxy IP, mã ID vật lý của thiết bị USB vẫn sẽ bị lộ cho trang web. Giống như đeo mặt nạ nhưng dấu vân tay trên ngón tay không được che giấu – vẫn bị nhận diện.

Làm thế nào để chống lại WebUSB fingerprint một cách hiệu quả?

1. Cách ly vật lý – Chi phí cao, hiệu quả thấp

Phương pháp triệt để nhất là sử dụng các thiết bị vật lý độc lập (máy tính khác nhau) để vận hành mỗi tài khoản. Nhưng đối với các nhóm cần quản lý hàng chục, thậm chí hàng trăm tài khoản, chi phí phần cứng, chi phí không gian và chi phí chuyển đổi là rất cao.

2. Mô phỏng thiết bị USB ảo – Yêu cầu kỹ thuật cao

Bằng cách viết driver để ảo hóa thiết bị USB, có thể giả mạo các mã nhà sản xuất và số seri khác nhau. Tuy nhiên, điều này yêu cầu quyền cao ở cấp độ hệ điều hành và rất dễ bị phát hiện bởi công nghệ chống ảo hóa.

3. Sử dụng trình duyệt fingerprint chuyên nghiệp + tính năng cách ly USB

Hiện nay, một số trình duyệt fingerprint hàng đầu (như NestBrowser) đã ra mắt tính năng “cách ly thiết bị USB” nhắm vào WebUSB fingerprint. Nguyên lý hoạt động:

  • Chặn các yêu cầu WebUSB API ở lớp nhân trình duyệt
  • Gán cho mỗi phiên bản trình duyệt một “môi trường USB ảo”, bao gồm mã nhà sản xuất, mã sản phẩm và số seri ngẫu nhiên được xác định trước
  • Mỗi môi trường trình duyệt của tài khoản trông giống như đang kết nối với một bộ thiết bị ngoại vi hoàn toàn khác nhau

Hiệu quả thực tế: Qua thử nghiệm, sau khi sử dụng tính năng cách ly USB của NestBrowser, 10 môi trường trình duyệt được tạo trên cùng một máy tính vật lý có WebUSB fingerprint được nhận diện đến từ các máy khác nhau, tỷ lệ tương đồng giảm từ 98% xuống dưới 5%.

4. Tính không thực tế của việc buộc tắt WebUSB

Mặc dù có thể tắt thủ công trong Chrome qua chrome://flags/#enable-webusb, nhưng điều này sẽ ngăn các chức năng bình thường (như xác thực khóa phần cứng, USB key ngân hàng). Hệ thống kiểm soát rủi ro cũng có thể phát hiện đối tượng navigator.usb có tồn tại hay không để xác định việc cố ý tắt, từ đó đánh dấu “hành vi bất thường”.

Nghiên cứu điển hình: Nhóm thương mại điện tử xuyên biên giới chống khóa nhờ WebUSB fingerprint

Lấy ví dụ một nhóm thương mại điện tử xuyên biên giới Amazon có doanh thu 2 triệu USD/tháng:

  • Vấn đề: Ban đầu, nhóm sử dụng cùng một workstation cấu hình cao, đăng nhập đồng thời 20 gian hàng bằng cách chuyển đổi fingerprint trình duyệt (Canvas+WebGL). Tỷ lệ bị khóa trong vòng nửa năm lên tới 35%.
  • Chẩn đoán: Sau khi đưa công cụ phát hiện WebUSB fingerprint vào, phát hiện tất cả 20 gian hàng đều có số seri bàn phím USB, chuột, webcam tích hợp hoàn toàn giống nhau. Hệ thống kiểm soát rủi ro của Amazon trực tiếp kết luận “cùng thiết bị, nhiều tài khoản”.
  • Giải pháp: Triển khai NestBrowser, bật chiến lược “cách ly môi trường USB”. Mỗi gian hàng tương ứng với một hồ sơ trình duyệt độc lập, phân bổ ngẫu nhiên thông tin thiết bị USB ảo. Đồng thời kết hợp với proxy IP dân cư.
  • Kết quả: Trong vòng ba tháng, tỷ lệ bị khóa giảm xuống còn 3%, doanh số ổn định và không cần mua thêm máy tính. Chi phí tổng thể chỉ bằng 1/10 so với phương án cách ly vật lý.

Xu hướng tương lai: WebUSB fingerprint + Phân tích hành vi AI

Với sự phổ biến của công nghệ AI, hệ thống kiểm soát rủi ro không còn phụ thuộc vào một dấu vân tay duy nhất, mà kết hợp WebUSB fingerprint với các đặc điểm hành vi như quỹ đạo chuột, độ trễ phím bấm, thời gian dừng lại trên trang, để xây dựng mô hình hai chiều “sinh trắc + thiết bị”. Điều này có nghĩa là chỉ sửa đổi dấu vân tay là chưa đủ, còn cần mô phỏng các thao tác thực tế của con người. Tuy nhiên, “dấu vân tay gốc” ở cấp độ thiết bị (số seri WebUSB) vẫn là điểm neo cơ bản.

Đối với người vận hành, chiến lược khả thi nhất là:

  1. Chọn trình duyệt fingerprint chuyên nghiệp hỗ trợ cách ly WebUSB fingerprint
  2. Kết hợp với proxy IP chất lượng cao
  3. Sử dụng công cụ tự động hóa để mô phỏng nhịp điệu thao tác

Tổng kết

WebUSB fingerprint là khâu khó vượt qua nhất trong công nghệ dấu vân tay thiết bị hiện tại, nó sử dụng mã nhận dạng phần cứng duy nhất để đánh dấu thiết bị, khiến các phương pháp sửa đổi dấu vân tay truyền thống trở nên vô hiệu. Đối với những người làm thương mại điện tử xuyên biên giới, tiếp thị mạng xã hội phụ thuộc vào vận hành đa tài khoản, cần phải đối mặt với mối đe dọa này và chủ động phòng thủ. Cách ly vật lý tuy an toàn nhưng chi phí cao, và việc sử dụng các công cụ chuyên nghiệp (như NestBrowser) để mô phỏng dấu vân tay thiết bị ở cấp phần mềm hiện là giải pháp tốt nhất cân bằng giữa hiệu quả và an toàn.

Đề xuất hành động: Khuyến nghị ngay lập tức kiểm tra xem tài khoản bạn đang vận hành đã bị đánh dấu bởi WebUSB fingerprint hay chưa. Có thể mở chrome://usb-internals để xem các thiết bị USB được kết nối với máy, sau đó truy cập trang kiểm tra nền tảng của bạn để xem hệ thống kiểm soát rủi ro có thể lấy được các ID này hay không. Nếu phát hiện rủi ro, hãy kịp thời triển khai giải pháp cách ly trình duyệt fingerprint để tránh tài khoản bị khóa hàng loạt.