Browser-Fingerprinting: Favicons als "Super-Cookies"

Mit dem Ende der Third-Party-Cookies kommt Browser-Fingerprinting wieder in Mode. Forscher haben eine neue Methode gefunden, Nutzer verdeckt zu identifizieren.

In Pocket speichern vorlesen Druckansicht 282 Kommentare lesen

(Bild: alphaspirit/hutterstock.com)

Lesezeit: 4 Min.
Von
  • Torsten Kleinz
Inhaltsverzeichnis

Mit einigen Tricks können Website-Favicons zu einer Art Cookie-Ersatz umfunktioniert werden. Eine Studie der University of Illinois in Chicago zeigt: Moderne Browser sind auf eine solche Attacke bisher nicht vorbereitet.

Favicons scheinen auf den ersten Blick harmlos zu sein. Wenn man eine bestimmte Website zwischen Dutzenden verschiedener Browser-Tabs oder in einer langen Liste von Bookmarks sucht, bieten die winzigen Logos der Website-Betreiber eine optische Hilfe, um die gewünschte Seite schnell aufzufinden. Favicons sind sowohl bei Anwendern als auch bei Webmastern beliebt: Laut Studie der Forscher der University of Illinois benutzen 94 Prozent der populärsten Websites Favicons, um ihren Lesern eine bessere Orientierung zu geben.

Doch mit dem anstehenden Ende der Third-Party-Cookies gewinnt das Browser-Fingerprinting wieder an Brisanz, bei dem Nutzer unbemerkt anhand ihrer Browser-Merkmale erkannt werden können. In der Studie haben drei Forscher die Favicons als einfachen Weg identifiziert, Nutzer eindeutig zu identifizieren.

Bereits in der Vergangenheit waren Favicons als mögliches Angriffsziel auf die privaten Daten der Nutzer aufgefallen. So kann man anhand der im Browser-Cache gespeicherten Favicons nachvollziehen, welche Websites ein Anwender abgerufen hat. Die zum Teil lange Lebensdauer der Favicons im Cache offenbart dabei mitunter Daten, die lange als gelöscht vermutet wurden.

Die neu vorgestellte Tracking-Methode macht sich den Browser-Cache ebenfalls zunutze. Die Server können zwar nicht in den Browser-Speicher sehen. Aber es ist möglich, Rückschlüsse daraus zu ziehen, ob ein Favicon abgerufen wird oder nicht. Wenn ein solches Logo bereits im Browser-Speicher enthalten ist, wird es in der Regel nicht erneut vom Browser abgerufen.

Um die Favicons in eine Art "Super-Cookie" zu verwandeln, bedarf es eines Tricks: Aus dem Laden oder Nicht-Laden eines einzelnen Favicons kann man noch keine Rückschlüsse ziehen, die die Identifizierung eines Nutzers ermöglichen. Die Forscher stellten aber fest, dass sie bei einem Website-Besuch über die Einbindung von Umleitungen auf Subdomains eine Vielzahl von Favicons im Browser-Cache ablegen konnten. Um Nutzer bei einem erneuten Besuch wieder zu identifizieren, stellte sich der Server stumm und wartete darauf, welche Favicons der Browser abfragte.

Diese einfache Methode war bemerkenswert effektiv. So gelang es nicht nur, Anwender von Chrome, Safari und Edge zu identifizieren, auch der datenschutzfreundliche Browser Brave verriet seine Nutzer. Mehr noch: Anti-Tracking-Maßnahmen, Incognito-Modus, das gezielte Löschen der Browser-Historie oder die Verwendung eines VPN brachten keine Verbesserung. Firefox-Nutzer erwiesen sich im Praxis-Test als unidentifizierbar – allerdings nicht wegen einer überlegenen Anti-Tracking-Technik, sondern weil der Browser-Cache aufgrund eines Bugs entgegen der Entwickler-Dokumentation gar nicht genutzt wurde.

Die Genauigkeit der Identifizierung lässt sich beliebig erhöhen, ein Angreifer benötigt dafür aber Zeit. Bei einem Desktop-Browser war es im Schnitt in nur einer Sekunde Ladezeit möglich, eine zwölf Bit lange ID in den Browser-Cache zu schreiben, das Auslesen benötigte die doppelte Zeit. Bei mobilen Browsern verdoppelt sich die benötigte Zeit nochmals. Für eine eindeutige Identifikation brauchten die Forscher nach eigenen Angaben etwa vier Sekunden. Dieser Wert kann allerdings reduziert werden, indem man das Favicon-Tracking mit anderen Fingerprinting-Techniken kombiniert.

Um diese Attacke zu verhindern, empfehlen die Forscher den Browser-Herstellern einige Nachbesserungen. So sollten sie im Incognito-Modus nicht mehr Favicons in den Browser-Cache leiten. Eine andere Methode wäre es, die Speicherung des Favicons an die Speicherung von Cookies zu binden: Werden Cookies gesetzt, sind Fingerprinting-Techniken unnötig. Auch eine Unterbindung von automatischen Umleitungen innerhalb eines Website-Aufrufs könnte Abhilfe schaffen. In der Vergangenheit haben Browser-Hersteller immer wieder Zugriffe auf Browser-Daten unterbunden, um die versteckte Identifizierung der Nutzer zu verhindern.

(olb)