Web-Browser-Fingerprinting: Erkennbar auch ohne Cookie

Ein neues Verfahren erkennt nicht nur den gleichen Web-Browser mit hoher Zuverlässigkeit, sondern auch andere Browser auf dem gleichen Gerät.

In Pocket speichern vorlesen Druckansicht 256 Kommentare lesen
Web-Browser-Fingerprinting: Erkennbar auch ohne Cookie
Lesezeit: 2 Min.
Von
  • Herbert Braun

Forschern ist es gelungen, Verfahren des Browser-Fingerprintings deutlich zu verbessern. Mit diversen Tricks konnten Yinzhi Cao, Song Li und Erik Wijmans von der Lehigh University in Pennsylvania/USA Browser mit einer Zuverlässigkeit von 99,24 Prozent identifizieren – ohne dabei auf IP-Adressen, Cookies oder ähnliche Techniken zurückgreifen zu müssen. Besonders bemerkenswert: Von ihren 1900 Testern konnten sie 83 Prozent auch dann wiedererkennen, wenn sie einen anderen Browser auf dem gleichen Gerät benutzten.

Über Methoden wie Browser-Fingerprinting werden auch Nutzer verfolgt, die sich gezielt dieser Überwachung entziehen wollen, indem sie zum Beispiel Cookies löschen und Skripte blockieren.

Das Forscher-Trio nahm das von "Am I Unique?" genutzte Verfahren zum Ausgangspunkt, das den gleichen Browser auf dem gleichen Gerät in 91 Prozent der Fälle identifiziert. Ihre Verbesserungen setzen vor allem im Bereich WebGL an, das bisher für Browser-Fingerprinting als zu unzuverlässig galt. Feinheiten beim Rendern von Texturen, Antialiasing, Licht-Effekten und Alpha-Transparenz machen Geräte wiedererkennbar. Das funktioniert sogar, wenn das Gerät nicht auf die GPU zugreifen kann, sondern auf Software-Rendering ausweichen muss.

Während die WebGL-Ergebnisse gerätespezifisch sind, ergibt die Kodierung von JPEG- und PNG-Bildern Differenzen auf Browser-Ebene. Selbst Daten-URLs schreiben die Browser überraschenderweise verschieden. Cao, Li und Wijmans ermitteln die Bildschirmauflösung zuverlässiger als ihre Vorgänger, die den Zoom-Faktor nicht berücksichtigen, schätzen die Anzahl der Prozessorkerne und fragen Bibliotheken für Sprachen wie Chinesisch, Koreanisch oder Arabisch ab. Um auf installierte Fonts zu prüfen, greift das Verfahren nicht mehr auf Flash zurück, sondern misst die Abmessungen eines gerenderten Texts. Erstmals wird auch auf Audio-Daten getestet.

Das Gesamtergebnis verschlechtert sich kaum, wenn Browser einzelne Features nicht unterstützen. Als wirkungsvollen Schutz gegen Browser-Fingerprinting empfehlen die Forscher den Tor-Browser, der insbesondere kein Canvas und damit kein WebGL ermöglicht, oder einen Browser, der in einer VM läuft. Auch einige Browser-Erweiterungen versprechen Schutz, haben aber ihre eigenen Risiken.

Der Quelltext des Verfahrens ist öffentlich, eine Live-Demo zeigt die Genauigkeit. Die lange Laufzeit – im Test ca. zehn Sekunden – und die hohe Daten- und Rechenlast schränken allerdings die praktische Nutzbarkeit des Verfahrens ein. (anw)