Fingerprinting bezeichnet eine Nutzerverfolgungs-Technik. Es wird angewandt, um Endgeräte und damit auch Nutzer eindeutig zu identifizieren und zu verfolgen. Es wurde oder wird bei verschiedensten Geräten angewendet, so etwa Schreibmaschinen, Quarzuhren, Digitalkameras und Endgeräte wie Handys oder PCs. Für die Methode ist kein physischer Zugriff auf das Gerät nötig. Insbesondere die Daten, welche Webbrowser generieren, werden zum Fingerprinting verwendet, dies wird als Browser Fingerprinting bezeichnet und stellt eine häufig verwendete Trackingtechnik dar. Die Methode wurde 2020 von 20 % der reichweitenstärksten 10.000 Internetseiten angewandt.

Eine Identifizierung von Geräten gelingt auf unterschiedliche Weise, je nach Einsatzgebiet des Fingerprintings. Jedoch werden stets Parameter ausgelesen, die von dem Gerät über das Internet versandt werden. Die so gesammelten Daten weisen pro Gerät leichte Abweichungen auf, je nachdem, wie das Gerät in seinen Soft- und Hardware-Komponenten aufgebaut ist. Somit können einzelne Geräte in vielen Fällen eindeutig voneinander unterschieden und nachverfolgt werden. Auf diese Weise können dann auch die Personen verfolgt werden, die das Gerät benutzen. Nach dem World Wide Web Consortium dient das Browser Fingerprinting dazu, Nutzer zu identifizieren, einen Zusammenhang zwischen deren Suchaktivitäten herzustellen, auch über mehrere Sitzungen hinweg, und Nutzer untransparent und unkontrolliert zu verfolgen.

Geschichte

Schon in den 1970er Jahren beschäftigten sich Forensiker mit den spezifischen Erkennungsmerkmalen einzelner Schreibmaschinen, dieser Ansatz wird bereits als Fingerprinting beschrieben. 2005 veröffentlichen Forscher des Institute of Electrical and Electronics Engineers (IEEE) eine Arbeit, in der die Möglichkeit aufgezeigt wurde Geräte mit Internetanschluss anhand der verbauten Quarzuhr voneinander zu unterschieden. Dies wurde erreicht, indem „mikroskopisch kleine Abweichungen in der Gerätehardware“ gemessen wurden, sogenannte Taktverschiebungen in den Uhren. Hierzu wurden die TCP-Zeitstempel aufgezeichnet und vergleichen. Erprobt wurde die Methode damals an 100 virtuellen Linux 2.4.18 und 100 virtuellen Windows XP SP1 Hosts, die alle auf dem gleichen Computer liefen. Alle virtuellen Computer konnten mittels TCP-Zeitstempel mit hoher Wahrscheinlichkeit diesem einen Rechner zugeordnet werden. Steven J. Murdoch von der University of Cambridge veröffentlichte 2006 eine Forschungsarbeit in der er zeigte, dass sich die CPU Belastung von Tor Knotenpunkten in Form von Wärme äußert, was wiederum Einfluss auf die Taktverschiebung in der Echtzeituhr hat. Diese Verschiebungen können, wie oben beschrieben, anhand der Zeitstempel gemessen werden. Damit stellte er eine Möglichkeit vor die Anonymität des Tor-Netzwerkes, oder ähnlicher Anonymitätsnetzwerke zu schwächen.

Im selben Jahr schlugen Forscher des IEEE ein Methode vor, um einen eindeutigen Fingerprint für Bilder aus Digitalkameras zu erzeugen, hierzu nutzten sie das einzigartige Bildrauschen des Kamerasensors. Forscher der International Society for Optical Engineering schlugen dagegen vor die Abbildungsfehler des Objektives als Fingerprinting Parameter zu nutzen.

Jonathan R. Mayer war der erste, der empirisch zeigte, dass Webbrowser unterschiedlich erscheinen abhängig vom Betriebssystem, der Hardware und der Browser-Konfiguration und das diese Unterschiede von einem fremden Server ausgelesen werden können, um so ein Profil des Nutzers zu erstellen. Ein Jahr später führte Peter Eckersley von der Electronic Frontier Foundation (EFF) das Panopticlick-Experiment durch. Hierbei sammelte er mithilfe von Datenspenden ca. 470.000 Fingerprints von Nutzern. Er konnte zeigen, dass mit einer Kombination aus unterschiedlichen Messdaten 83,6 % der Fingerprints einzigartig waren. Wenn die Nutzer Plugins wie Adobe Flash Player oder Java Virtual Machine aktiviert hatten, stieg die Zahl auf 94,2 %, da diese Plugins zusätzliche Geräteinformationen lieferten. Diese Studie prägte den Begriff Browser Fingerprinting.

2012 zeigten Keaton Mowery und Hovav Shacham, wie das HTML5-Canvas-Element genutzt werden kann, um einen Fingerprint zu erzeugen, dies legte den Grundstein für das sogenannte Canvas Fingerprinting. 2015 wurde durch das IEEE erstmals die Möglichkeit erwähnt Nutzer per Cascading Style Sheets (CSS) zu verfolgen. Diese Technik entwickeltes sich weiter bis 2023 Forscher von IBM eine Methodik vorstellten, die es ermöglicht ein CSS Fingerprint erstellen, mit dem sich Nutzer zuverlässig verfolgen lassen. Die Effektivität soll der von Canvas Fingerprints gleichen, mit dem Unterschied, dass sich die Technik noch schwerer verhindern lässt und auch gegen das Tor-Netzwerk wirksam sein kann.

Techniken des Browser Fingerprintings

Während bei Cookies ein Identifier auf dem Gerät gespeichert wird um später wieder ausgelesen zu werden, werden beim Browser Fingerprinting die Software- und Hardwaremerkmale von Geräten ausgelesen um so verschiedene Geräte voneinander zu unterscheiden. Je mehr Parameter erfasst werden können um so eindeutiger können Geräte identifiziert werden. Beim Browser Fingerprinting wird so ein digitaler Fingerabdruck eines Gerätes erstellt, welcher in einem Hash oder einer Liste gespeichert wird. Wenn der Nutzer eine Internetseite erneut besucht, wird abermals der spezifische Fingerprint des Gerätes ausgelesen und mit dem Hash abgeglichen, so kann der Nutzer wiedererkannt werden, da sich sein Fingerprint im Allgemeinen nicht ändert. Je ungewöhnlicher ein System in seinen Software und Hardware Komponenten aufgebaut ist, desto einzigartiger ist auch der zugehörige Fingerprint und dementsprechend leichter ist der Nutzer zu verfolgen. Im Folgenden werden die wichtigsten Techniken dargestellt, aus denen sich die Daten für das Fingerprinting ergeben. Das Browser Fingerprinting lässt sich Nutzerseitig deutlich schwerer verhindern als vergleichbare Tracking-Techniken.

Canvas

Die Methode des Canvas Fingerprinting macht sich den Effekt zunutze, dass die Darstellung von Canvas-Elementen variiert, abhängig vom Betriebssystem, der Browser-Version, der Grafikkarte und den installierten Schriftarten. Um für den Seitenbesucher einen spezifischen Fingerprint zum Zeitpunkt des Seitenaufrufs zu erstellen, wird dem Browser ein versteckter Text zur Anzeige übergeben. Hierzu sind nur wenige Programmzeilen JavaScript notwendig. Aufgrund der einzigartigen Darstellung durch das Endgerät kann ab diesem Zeitpunkt der Benutzer mit hoher Wahrscheinlichkeit wiedererkannt und damit auch sein Surfverhalten beobachtet werden.

Technische Gegenmaßnahmen

Ziel der Gegenmaßnahmen ist die Erhöhung der Privatsphäre beim Surfen im Internet. Grundsätzlich lässt sich eine Verfolgung weniger leicht realisieren wenn viele Nutzer einen ähnlichen oder gleichen Fingerprint besitzen, da dann der Fingerprint nicht mehr eindeutig einem Benutzer zugeordnet werden kann. Der Tor Browser zielt durch seinen Aufbau auf diesen Effekt ab. Durch verschiedene technische Grundlagen (Letterboxing, einheitliche Schriftarte etc.) erhalten viele Nutzer einen gemeinsamen Fingerprint, sie verschwinden dadurch in einer Anonymitätsgruppe von Nutzern, die denselben Fingerprint wie sie besitzen. Andere Browser wie beispielsweise Brave sind ebenfalls von Grund auf darauf ausgelegt, möglichst resistent gegen das Fingerprinting zu sein.

Weitere Methoden, unabhängig von dem verwendeten Webbrowser, um das Fingerprinting zu beschränken, sind unter anderem das Blockieren von bekannten Fingerprinting-Skripts auf Basis einer Blockliste. Mithilfe von Inhaltblockern, oder DNS-basierten Blocklisten lässt sich der Kontakt zu Drittanbieter-Domains einschränken, die bekannt dafür sind Fingerprinting zu nutzen. Einen solchen Schutz können z. B. Browser-Add-ons wie der Privacy Badger der Electronic Frontier Foundation, oder uBlock Origin bieten. Weiterhin könnte auch verhindert werden, dass das vom Browser gerenderte Canvas-Element übermittelt wird, in dem die entsprechenden Javascript-Programmierschnittstellen deaktiviert werden. Dies würde jedoch, aufgrund der ungewöhnlichen Einstellung, ein neues Merkmal zur Identifikation des Nutzers schaffen, ihn also von der Masse abheben und ist somit nicht zweckdienlich. Mit dem Deaktivieren von JavaScript wird das Canvas Fingerprinting unmöglich. Allerdings führt das häufig zu unbenutzbaren Websites, da JavaScript-Bibliotheken vielfach auf Webseiten eingebunden sind. Dies stellt also ebenfalls keine praktikable Möglichkeit dar, das Tracking zu vermindern.

Eine häufig empfohlene Methode ist dagegen die Canvas-Elemente bei der Ausgabe geringfügig zu manipulieren, also deren Eigenschaften während des Renderns zufällig zu verändern. Hierdurch wird die Nutzerverfolgung erschwert, bzw. verhindert, weil ein gleichbleibender Fingerprint nicht mehr besteht. Somit kann der Fingerprint nicht mehr eindeutig über einen längeren Zeitraum hinweg verfolgt werden. Eine Konfigurationsmöglichkeit könnte zum Beispiel sein, dass der Fingerprint für jede Website persistent ist, sich aber von Website zu Website ändert. Eine andere könnte sein, dass die Werte der Canvas-Elemente nach jedem Schließen des Browsers verändert werden.

Da die Methode des CSS Fingerprintings noch neu ist (Stand 2023) helfen die bekannten Veteidigungsmechanismen der Browser dagegen nicht, ebenso wenig dedizierte Add-ons. Allerdings können durch Inhaltsblocker wie uBlock Origin iFrames blockiert werden, was der einzige bisher bekannte Weg ist, um das CSS Fingerprinting einzuschränken.

Ein dediziertes Add-on, welches das Auslesen der Canvas-Elemente verhindern oder verfälschen kann, ist der CanvasBlocker.

Verschieden Browser setzen auf Maßnahmen, um Fingerprinting einzuschränken, so zum Beispiel Mozilla Firefox, Brave, Pale Moon, Librewolf, der Mullvad Browser und der Tor Browser.

Studien

Es existieren unterschiedliche Forschungsarbeiten zu der Thematik des Fingerprinting. Im Rahmen einer Studie der Princeton-Universität und der Katholischen Universität Leuven wurde 2014 aufgezeigt, dass von 100.000 untersuchten Webseiten 5,5 % die Technik des Browser Fingerprinting einsetzen. Forschende der Friedrich-Alexander-Universität Erlangen-Nürnberg sammeln seit 2016 Daten von Freiwilligen, um die Auswirkungen von Browser-Fingerprints auf die Privatsphäre genauer erforschen zu können. In einer Studie aus dem Jahr 2017 konnten Forscher zeigen, dass Nutzer mit einer Wahrscheinlichkeit von 99,24 % per Fingerprint verfolgbar waren. Forscher von IBM behaupteten 2023 sie hätten eine Fingerprinting Methode gefunden, die vollkommen ohne Canvas-Elemente funktioniere und sich nicht durch herkömmliche Schutzmechanismen verhindern lassen.

Einzelnachweise

  1. 1 2 3 Peter Eckersley: Privacy Enhancing Technologies. Band 6205. Springer, 2010, ISBN 978-3-642-14526-1, How Unique Is Your Web Browser?.
  2. Julian Fietkau: The Elephant In The Background: Empowering Users Against Browser Fingerprinting. 28. Dezember 2020, abgerufen am 27. Juni 2023 (englisch).
  3. Mitigating Browser Fingerprinting in Web Specifications. Abgerufen am 27. Juni 2023.
  4. T. Kohno, A. Broido, K. Claffy: Remote physical device fingerprinting. In: 2005 IEEE Symposium on Security and Privacy (S&P'05). Mai 2005, S. 211–225, doi:10.1109/SP.2005.18 (ieee.org [abgerufen am 7. Juli 2023]).
  5. Steven J. Murdoch: Hot or Not: Revealing Hidden Services by their Clock Skew. Computer Laboratory University of Cambridge, 2006, abgerufen am 7. Juli 2023 (englisch).
  6. J. Lukas, J. Fridrich, M. Goljan: Digital camera identification from sensor pattern noise. In: IEEE Transactions on Information Forensics and Security. Band 1, Nr. 2, Juni 2006, ISSN 1556-6021, S. 205–214, doi:10.1109/TIFS.2006.873602 (ieee.org [abgerufen am 7. Juli 2023]).
  7. Kai San Choi, Edmund Y. Lam, Kenneth K. Y. Wong: Source camera identification using footprints from lens aberration. 2. Februar 2006, S. 60690J, doi:10.1117/12.649775 (spiedigitallibrary.org [abgerufen am 7. Juli 2023]).
  8. Jonathan R. Mayer: Internet Anonymity in the Age of Web 2.0. 7. April 2009, abgerufen am 8. Juli 2023 (englisch).
  9. Keaton Mowery und Hovav Shacham: Pixel Perfect: Fingerprinting Canvas in HTML5. Department of Computer Science and Engineering University of California, 2012, abgerufen am 7. Juli 2023 (englisch).
  10. Naoki Takei, Takamichi Saito, Ko Takasu, Tomotaka Yamada: Web Browser Fingerprinting Using Only Cascading Style Sheets. In: 2015 10th International Conference on Broadband and Wireless Computing, Communication and Applications (BWCCA). November 2015, S. 57–63, doi:10.1109/BWCCA.2015.105 (ieee.org [abgerufen am 7. Juli 2023]).
  11. 1 2 Xu Lin, Fred Araujo, Teryl Taylor, Jiyong Jang, Jason Polakis: Implicit Stylistic Fingerprints for Bypassing Browsers Anti-Fingerprinting Defenses. 22. Mai 2023 (englisch, ibm.com [abgerufen am 28. Juni 2023]).
  12. Kiu Nai Pau, Vicki Wei Qi Lee, Shih Yin Ooi, Ying Han Pang: The Development of a Data Collection and Browser Fingerprinting System. In: Sensors (Basel, Switzerland). Band 23, Nr. 6, 13. März 2023, ISSN 1424-8220, S. 3087, doi:10.3390/s23063087, PMID 36991796 (nih.gov [abgerufen am 28. Juni 2023]).
  13. Katarzyna Szymielewicz and Bill Budington: The GDPR and Browser Fingerprinting: How It Changes the Game for the Sneakiest Web Trackers. 19. Juni 2018, abgerufen am 27. Juni 2023 (englisch).
  14. Pierre Laperdrix, Nataliia Bielova, Benoit Baudry, Gildas Avoine: Browser Fingerprinting: A survey. 3. Mai 2019, abgerufen am 27. Juni 2023 (englisch).
  15. Canvas Fingerprinting - BrowserLeaks.com. Abgerufen am 19. Januar 2019 (englisch).
  16. Canvas Fingerprinting: AddThis trackt Nutzer von YouPorn, kinox.to und Co. Archiviert vom Original am 24. April 2013; abgerufen am 14. Januar 2019.
  17. Browser Fingerprinting: An Introduction and the Challenges Ahead. In: Tor Projekt. Abgerufen am 27. Juni 2023 (englisch).
  18. Fingerprinting des Browsers mit Javascript. Abgerufen am 27. Juni 2023.
  19. 3.3 Overrides To RFP or Not. Abgerufen am 27. Juni 2023 (englisch).
  20. Your web browsing habits may be less private than you think. 9. Februar 2021, abgerufen am 7. Juli 2023 (amerikanisches Englisch).
  21. Süddeutsche de GmbH, Munich Germany: Canvasblocker sorgt für Trackingschutz beim Firefox-Browser - Wissen-News. Süddeutsche Zeitung, 23. August 2018.
  22. kkapsner: A Firefox Plugin to protect from being fingerprinted: kkapsner/CanvasBlocker. In: GitHub. 19. Januar 2019, abgerufen am 19. Januar 2019 (englisch).
  23. https://forum.palemoon.org/viewtopic.php?f=1&t=8943 Abgerufen am 9. August 2015.
  24. Firefox blockiert Fingerprinting. In: mozilla.org. Abgerufen am 27. Juni 2023.
  25. Open-source tests of web browser privacy. Abgerufen am 27. Juni 2023 (englisch).
  26. Gunes Acar, Christian Eubank, Steven Englehardt, Marc Juarez, Arvind Narayanan, Claudia Diaz: The Web Never Forgets: Persistent Tracking Mechanisms in the Wild. Abgerufen am 27. Juni 2023 (englisch).
  27. Studie zu Browser-Fingerprinting. Abgerufen am 28. Juni 2023.
  28. (Cross-)Browser Fingerprinting via OS and Hardware Level Features. In: ndss-symposium.org. Abgerufen am 27. Juni 2023 (englisch).
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.