Cách các công cụ kiểm tra tính ẩn danh Pixelscan, BrowserLeaks, Whoer và CreepJS hoạt động

Những điều cơ bản: Whoer và tính ẩn danh mạng

Whoer là một trong những công cụ kiểm tra đơn giản nhất. Bạn mở trang web và nó sẽ hiển thị toàn bộ thông tin về kết nối Internet và trình duyệt của bạn, từ địa chỉ IP đến thời gian hệ thống. 

Nó thường được dùng để đảm bảo rằng VPN, proxy hoặc trình duyệt chống phát hiện được cấu hình chính xác và không làm rò rỉ dữ liệu thật. Whoer không phân tích kết xuất GPU hay các tham số cấp phần cứng khác; thay vào đó, nó tập trung vào danh tính có thể nhìn thấy, tức các tham số mạng mà kết nối của bạn công khai với máy chủ.

Những gì được kiểm tra:

1. Tính nhất quán địa lý: nếu hồ sơ của bạn mô phỏng một cư dân California, Whoer sẽ kiểm tra xem IP có thuộc dải địa chỉ của Mỹ hay không và múi giờ hệ thống có khớp với bang đã khai báo hay không. Nó cũng so sánh cài đặt thời gian hệ thống và ngôn ngữ với thời gian thực tế trong múi giờ của IP.

2. Rò rỉ DNS: Whoer kiểm tra xem các yêu cầu của bạn tới trang web có đi qua nhà cung cấp Internet gia đình thật của bạn thay vì VPN hoặc proxy đã cấu hình hay không.

3. WebRTC: Whoer cố gắng lấy địa chỉ IP cục bộ và công khai thật của bạn thông qua các kết nối trình duyệt ngang hàng và phát hiện rò rỉ IP qua WebRTC.

4. Vân tay trình duyệt cơ bản: Whoer kiểm tra phiên bản hệ điều hành, phiên bản trình duyệt, JavaScript có được bật hay không, plugin đã cài đặt và các tham số màn hình cơ bản.

Whoer định vị mình là một công cụ quét ẩn danh và bảo mật phổ quát cho đông đảo người dùng. Tính năng chính của nó là đưa ra câu trả lời nhanh và rõ ràng cho câu hỏi các trang web nhìn thấy bạn như thế nào.

Whoer đã game hóa quá trình trình bày dữ liệu và giới thiệu thang điểm phần trăm ẩn danh riêng. Nó đánh giá mức độ giả mạo của bạn trên thang 100 điểm. Ở mức 90–100%, bạn trông như một người dùng bình thường từ quốc gia đã khai báo. Nếu kết quả vào khoảng 40–70%, dịch vụ sẽ tô cảnh báo màu đỏ hoặc vàng, cho thấy tham số nào làm lộ bạn và đưa mẹo cách khắc phục (ví dụ: tắt WebRTC hoặc đổi múi giờ hệ thống).

Tuy nhiên, Whoer không đi sâu hơn mức đó; đó là việc của các dịch vụ khác. Dù vậy, nếu bạn cần kiểm tra nhanh proxy của mình về rò rỉ mạng, Whoer xử lý tác vụ này rất tốt.

Tính Ẩn Danh

Các lựa chọn thay thế cho Whoer.net: 10 trang web tra cứu IP hàng đầu

Kiểm toán chuyên sâu: BrowserLeaks và entropy phần cứng

Trong khi Whoer thực hiện kiểm tra cơ bản các tham số mạng và cung cấp điểm ẩn danh tổng quát, BrowserLeaks đi sâu hơn nhiều và tập trung vào phân tích kỹ thuật. Dịch vụ thu thập và hiển thị nhiều tham số liên quan đến trình duyệt, thiết bị và môi trường chạy.

Đồng thời, giải pháp này không đưa ra đánh giá, nó chỉ hiển thị các giá trị thực tế — dữ liệu mà gần như mọi trang web đều có thể thu thập về trình duyệt của bạn. Việc diễn giải các tham số này đòi hỏi hiểu biết kỹ thuật.

Ngoài ra, BrowserLeaks kiểm tra các tham số kết xuất đồ họa (ví dụ qua Canvas và WebGL), phân tích xử lý âm thanh, phát hiện font hệ thống khả dụng và thu thập nhiều đặc điểm mạng/hệ thống có thể dùng để tạo vân tay trình duyệt.

Canvas fingerprinting

Canvas fingerprinting là phương pháp theo dõi phần cứng nổi tiếng và phổ biến nhất, mà BrowserLeaks có thể tái hiện dễ dàng.

Nó gửi cho trình duyệt một lệnh ẩn để kết xuất hình ảnh phức tạp trên phần tử <canvas> vô hình. Thường đó là một chuỗi văn bản với các phông chữ cụ thể, lớp bóng đổ và các màu tương phản bán trong suốt giao cắt nhau. Dựa trên kết quả kết xuất, công cụ kiểm tra suy ra trình duyệt và hệ điều hành của bạn.

Không giống cookie — dễ xóa — hay địa chỉ IP — dễ thay đổi, vân tay Canvas dựa trên các tham số vật lý của thiết bị. Nó vẫn tồn tại sau khi xóa cache, đổi múi giờ và dùng chế độ ẩn danh.

Ví dụ, nếu bạn tạo nhiều tài khoản trên một dịch vụ bằng cùng một thiết bị, chỉ đổi proxy thôi thì Canvas vẫn sẽ liên kết tất cả thành một chuỗi duy nhất. Phần cứng vẫn như cũ, nên hash hình ảnh sẽ trùng khớp mỗi lần.

Các hệ điều hành khác nhau dùng thuật toán làm mịn phông chữ riêng (ClearType trên Windows, Quartz trên macOS, FreeType trên Linux), điều này ảnh hưởng đến đầu ra cuối cùng. Driver của các GPU khác nhau cũng làm tròn pixel khác nhau và xử lý phép tính dấu phẩy động theo cách riêng khi trộn lớp và bóng. Tất cả tạo thành một Canvas duy nhất.

Anti-detect Browsers

Vân tay Canvas là gì và nó hoạt động như thế nào?

Huyền thoại đa nền tảng

Hãy mô phỏng tình huống sau: bạn tạo một hồ sơ trong trình duyệt chống phát hiện và chọn macOS trong cài đặt hồ sơ, dù thiết bị của bạn đang chạy Windows.

Trình duyệt chống phát hiện của bạn thay đổi User-Agent, chèn đúng header navigator.platform (MacIntel) và điều chỉnh độ phân giải màn hình theo chuẩn Mac. Nhưng khi có yêu cầu kết xuất Canvas, công cụ kiểm tra vẫn hiển thị Windows thật của bạn. Vì sao điều này xảy ra?

Phần lớn trình duyệt chống phát hiện được xây dựng trên Chromium. Việc kết xuất đồ họa ở đó do engine Skia xử lý. Nhưng để kết xuất phông chữ và bóng, Skia gọi các API cấp thấp của hệ điều hành.

• Trên Windows, nó dùng DirectWrite và thuật toán ClearType.

• Trên macOS, nó dùng CoreText và Quartz, engine kết xuất đóng của Apple.

Để trình duyệt chống phát hiện chạy trên Windows của bạn kết xuất Canvas như Mac, các nhà phát triển sẽ phải loại bỏ các lệnh gọi DirectWrite khỏi trình duyệt và bằng cách nào đó nhúng mã đóng độc quyền của Apple gắn với kiến trúc bộ xử lý của họ. Điều này là bất khả thi về mặt kỹ thuật.

Nếu bạn từng đọc tài liệu về trình duyệt chống phát hiện, có thể bạn đã thấy họ thường khuyên dùng cùng hệ điều hành với hệ điều hành thật của bạn. Họ hiếm khi giải thích lý do.

Về mặt kỹ thuật vẫn có một cách lách: bạn có thể tắt tăng tốc phần cứng GPU, khi đó CPU sẽ kết xuất hình ảnh qua thư viện SwiftShader của Google. Đúng, bạn sẽ có hash Canvas khác, nhưng nếu mở mục WebGL trên BrowserLeaks, Unmasked Renderer sẽ hiển thị SwiftShader thay vì GPU. Tuy nhiên, người dùng thông thường không tắt hardware acceleration, vì vậy điều này vẫn sẽ thu hút sự chú ý của các hệ thống chống gian lận.

Ngoài Canvas, BrowserLeaks cho phép bạn kiểm tra rất nhiều tham số khác. Dữ liệu nó hiển thị chính xác là những gì bất kỳ trang web nào bạn truy cập đều có thể thấy. Điểm mấu chốt là diễn giải đúng các giá trị này và hiểu chỗ nào chúng làm lộ thiết bị thật của bạn.

Cảnh sát tính nhất quán: Pixelscan

Trong khi BrowserLeaks cho bạn thấy bạn có gì, Pixelscan kiểm tra xem bạn có đang nói dối không. Các hệ thống chống gian lận hiện đại không cấm bạn vì vân tay là duy nhất (hàng triệu người dùng hợp pháp cũng có thể là duy nhất), mà vì mâu thuẫn logic bên trong vân tay. Ví dụ, nếu User-Agent của bạn nói là Windows nhưng navigator.platform trả về Linux, Pixelscan sẽ báo lỗi.

Octo Browser cho phép bạn đặt bất kỳ giá trị nào cho hardwareConcurrency (số lõi CPU) và deviceMemory (dung lượng RAM). Nhưng trên thực tế, các tham số này có tương quan với nhau.

Hoặc ví dụ, cài đặt hồ sơ của bạn chỉ định độ phân giải màn hình 1920×1080. Nhưng script Pixelscan thấy viewport của trình duyệt cũng đúng 1920×1080. Với người dùng bình thường, một phần màn hình luôn bị thanh tác vụ Windows, khung trình duyệt hoặc tab chiếm chỗ.

Khi bạn mở Chrome cục bộ sạch không tiện ích mở rộng, PixelScan đôi khi có thể hiển thị trạng thái Inconsistent. Có thể có nhiều lý do, nhưng phần lớn liên quan đến mất đồng bộ dữ liệu:

• Biến động mạng. Bạn chuyển từ Wi‑Fi sang LTE, hoặc hệ thống thay đổi múi giờ.

• Trình duyệt thiên về quyền riêng tư. Brave hoặc tiện ích như uBlock hạn chế API mạnh tay vì quyền riêng tư, làm phá vỡ tính nhất quán tự nhiên của vân tay.

• Di chuyển vị trí. Bạn chuyển sang khu vực khác nhưng múi giờ thiết bị không thay đổi. Công cụ kiểm tra thấy lệch giữa thời gian theo IP và thời gian thiết bị.

Pixelscan so sánh thời gian hệ thống của bạn với múi giờ xác định từ địa chỉ IP bằng cơ sở dữ liệu định vị địa lý riêng. Tuy nhiên, các cơ sở dữ liệu GeoIP (MaxMind, IP2Location, v.v.) có thể chứa dữ liệu cũ hoặc không chính xác, và mỗi dịch vụ dùng phiên bản riêng. Nếu Pixelscan xác định sai quốc gia, phép kiểm tra thời gian của nó cũng sẽ dựa trên khu vực sai. Vì vậy, không nên xem kết quả Pixelscan là tuyệt đối do có thể có sai khác trong cơ sở dữ liệu địa lý.

Các ưu điểm chính của Pixelscan gồm:

1. Tính toàn diện. Công cụ kiểm tra không chỉ nhìn từng tham số vân tay riêng lẻ mà còn phân tích độ mạch lạc và nhất quán giữa chúng. Đây chính xác là điều các hệ thống chống gian lận tại Facebook, Google và Amazon làm.

2. Phát hiện tự động hóa. Pixelscan rất giỏi phát hiện dấu vết của các framework tự động hóa như Puppeteer hoặc Playwright, thường dùng để xây bot.

3. Vân tay thực. Pixelscan so sánh hash Canvas của bạn với cơ sở dữ liệu khổng lồ về thiết bị thật. Nếu hash của bạn độc nhất 100%, tức không ai khác trên thế giới có, đó là dấu hiệu xấu. Một hồ sơ tốt nên hòa vào đám đông, không nên nổi bật như độc nhất vô nhị.

Pixelscan là công cụ huấn luyện tuyệt vời, nhưng cần nhớ mục tiêu của trình duyệt chống phát hiện không phải là nhận dấu tích xanh trong công cụ kiểm tra, mà là không bị cấm trên dịch vụ mục tiêu. Đôi khi một hồ sơ có vài cảnh báo lại tồn tại lâu hơn một tài khoản hoàn hảo nhưng đáng ngờ vì quá “sạch”.

Phát hiện nâng cao: CreepJS

CreepJS không phải sản phẩm thương mại mà là dự án mã nguồn mở do các nhà nghiên cứu bảo mật tạo ra. Nó không cần giao diện hào nhoáng. Thay vào đó, nó kiểm tra mạnh tay và rất sâu JavaScript engine của trình duyệt. Công cụ này tìm chính việc can thiệp vào lõi trình duyệt và đào sâu hơn nhiều so với kiểm tra tiêu chuẩn để tìm dấu vết giả mạo và tự động hóa.

Các công cụ thông thường chỉ lấy hash của ảnh Canvas đã kết xuất. CreepJS có thể phân tích chính kết cấu ảnh và phát hiện các thuật toán chèn nhiễu toán học. Ví dụ, thêm nhiễu màu ngẫu nhiên lên pixel là mẹo lách lỗi thời mà CreepJS sẽ đánh dấu.

Hồ sơ sạch

Hồ sơ có nhiễu

Công cụ cũng tìm các cờ cho thấy điều khiển trình duyệt ẩn qua Puppeteer, Playwright hoặc Selenium. Nó kiểm tra liệu trình duyệt có chạy chế độ headless không giao diện đồ họa hay không, xác minh sự hiện diện của đối tượng webdriver và phân tích mức độ tự nhiên của hành vi tham số cửa sổ.

Nếu bạn chạy thủ công một trình duyệt chống phát hiện chất lượng cao như Octo Browser, bạn sẽ vượt qua bài kiểm tra này mà không vấn đề gì. Nhưng nếu bạn tự động hóa quy trình bằng Puppeteer, một trình duyệt chống phát hiện giá rẻ sẽ lập tức bật cờ đỏ webdriver: true, trong khi các giải pháp hàng đầu thậm chí có thể giả mạo cả dấu vết điều khiển trình duyệt bằng script.

CreepJS còn phát hiện gì nữa? Script sẽ cho trình duyệt chạy qua hàng chục bài kiểm tra sức chịu tải:

• Can thiệp prototype. Nếu một tiện ích rẻ tiền ghi đè hàm JS native (ví dụ để ẩn pin thật), CreepJS sẽ kích hoạt lỗi trong hàm đó và đọc Stack Trace. Mã native tạo lỗi hệ thống, còn mã giả sẽ lộ đường dẫn script.

• Toán học của engine. CreepJS buộc trình duyệt tính các phân số phức tạp (sin, cos). Các phiên bản engine khác nhau làm tròn số hơi khác nhau, từ đó lộ giả mạo.

• Kết xuất phần mềm. Script phân tích cách WebGL được kết xuất, phát hiện các trình giả lập phần mềm thường dùng trên máy chủ bot farm giá rẻ.

CreepJS là giải pháp khách quan và cực kỳ khó đánh lừa. Nếu nó phát hiện can thiệp prototype hoặc giả mạo tính toán, lỗ hổng đó là có thật.

Nhưng nhiều chữ đỏ có nghĩa là bị cấm ngay trên Google, Facebook hoặc sàn crypto không? Không. Đây là lý do kết quả CreepJS không nên được xem là tuyệt đối:

• Chống gian lận thương mại hoạt động khác. Mạng quảng cáo cần người dùng thật để tạo doanh thu. Họ không cấm chỉ vì dùng tiện ích quyền riêng tư hạn chế API (điều mà CreepJS rất “ghét”).

• Dương tính giả. Ngay cả Chrome sạch, bình thường cũng có thể trông đáng ngờ trong báo cáo nếu bạn cài trình chặn quảng cáo nghiêm ngặt (như uBlock), đổi múi giờ hoặc tắt cookie bên thứ ba.

• Lệnh cấm dựa trên bức tranh tổng thể. Nền tảng lớn xem xét toàn bộ bối cảnh — nghĩa là địa chỉ IP, lịch sử tài khoản, hành vi và vân tay cùng lúc. Nếu vân tay của bạn hơi bất thường nhưng bạn hành xử như người dùng thật với proxy chất lượng cao, bạn vẫn ổn.

Kết luận

Rốt cuộc có thể tin các công cụ kiểm tra không? Có, nhưng bạn cần hiểu chúng chỉ là công cụ chẩn đoán:

• Whoer kiểm tra nhanh xem kết nối của bạn có làm rò rỉ IP hoặc DNS thật hay không.

• BrowserLeaks cho bạn thấy toàn bộ dữ liệu kỹ thuật mà trình duyệt tự nguyện để lộ cho website.

• Pixelscan phát hiện sự không nhất quán giữa đặc điểm hồ sơ đã khai báo và phần cứng thực.

• CreepJS nhận diện các can thiệp lập trình sâu vào hành vi trình duyệt và việc dùng bot.

Tự động hóa cấp cao ngày nay không phải là trở nên vô hình bằng cách tắt mọi API, mà là tạo ra các hồ sơ nhất quán hòa lẫn hoàn toàn với hàng triệu người dùng Internet thật.