プリンストン大学とルーヴェン・カトリック大学の研究者がまとめた論文「The Web never forgets: Persistent tracking mechanisms in the wild」によると、Canvas Fingerprinting技術を使ったオンライントラッキングツールがAlexaトップサイトに浸透している。同ツールが使われていると、ブラウザユーザーが追跡をブロックするのが非常に難しくなる。
モダンブラウザがサポートするCanvas APIを通じてレンダリングされたイメージには端末ごとのわずかな違いが生じる。これをデバイスの指紋のように用いるテクニックを2012年にカリフォルニア大学サンディエゴ校の研究者が発表し、Canvas Fingerprinting(Canvasの指紋採取)と呼んだ。同技術を採用したオンライントラッキングツールは、ユーザーには見えないテキストをレンダリングさせ、ユーザーに認識されることなくレンダリングされたイメージのデータを取得し、そのデータから端末をトラッキングする。今日のブラウザのプライバシー保護機能や広告ブロックツールではCanvas Fingerprintingをブロックできず、インコグニートモードでWebページを表示したとしても端末は識別される。スクリプトを動作させなければトラッキングを防げるが、JavaScriptを無効にするとブラウジング体験が損なわれ、JavaScriptをブロックする拡張機能でCanvas Fingerprintingスクリプトのみを拒否するように設定するには知識と情報が必要になる。ブラウザ本来の機能を維持しながら、トラッキングを防ぐのは現状では難しい。
The Web never forgetsによると、研究者たちが調査したAlexaトップ100,000サイトのうち、5.5%以上でCanvas Fingerprintingスクリプトが動作していた。カリフォルニア州(http://ca.gov)やホワイトハウス(http://whitehouse.gov)、Daily News(http://nydailynews.com)やSFGate (http://www.sfgate.com/)、Ustream (http://ustream.tv)、Movie4k.to(http://movie4k.to)、YouPorn(http://youporn.com)など、様々なサイトに浸透している。
Canvas Fingerprintingスクリプトは約95%をAddThisという会社が提供しており、調査では合計20のCanvas Fingerprintingプロバイダドメインが確認された。Canvas Fingerprintingのリスクが報じられた後、YouPornがAddThisのツールにCanvas Fingerprintingが含まれることを認識していなかったとして、使用を中止したことを公表した。同様のケースが増える可能性があるものの、すでにたくさんのWebサイトに広がっていることから、Canvas Fingerprintingを用いたトラッキングツールの存在がプライバシー保護の議論に発展するのは避けられそうにない。
