Browser-Fingerprinting: PCs, Smartphones & Co. lassen sich über die GPU tracken
Die Leistungscharakteristika einer Grafikeinheit sind so individuell, dass sie das Browser-Tracking für Webseiten-Betreiber maßgeblich vereinfachen können.
(Bild: c't)
Desktop-PCs, Notebooks, Smartphones und andere Geräte lassen sich beim Browsen von Webseiten mittels Fingerprinting auch ohne Tracking-Cookies über lange Zeiträume identifizieren. Ein Forschungsverbund von australischen, französischen und israelischen Universitäten beweist jetzt, dass sich die Grafikeinheit in einem Gerät maßgeblich zum Nachverfolgen ausnutzen lässt.
Die DrawnApart genannte Technik (Paper) lässt über die bei Browsern gängige Grafik-API WebGL kurze Grafikberechnungen laufen und protokolliert per einfachem JavaScript einige Parameter, maßgeblich die Anzahl der Shader-Kerne, die anliegenden Taktfrequenzen und die benötigte Zeit zum Rendern. Die Grafikberechnungen laufen wahlweise für wenige Sekunden im Vordergrund oder für einen längeren Zeitraum im Hintergrund.
Weil jedes Halbleiterbauelement nach dem Belichtungsprozess in der Chipfertigung einzigartig ist, lässt sich auch eigentlich identische Hardware auseinanderhalten. Jede GPU etwa hat eine eigene Kurve aus Spannung und Takt – eine GeForce RTX 3080 verhält sich nicht wie eine andere GeForce RTX 3080, eine integrierte Adreno-660-GPU eines Smartphones nicht wie eine andere Adreno 660.
Erweiterung bisheriger Identifizierungstechniken
Das Forschungsteam hinter DrawnApart nutzte diese Leistungscharakteristika, um bisherige Browser-Fingerprinting-Techniken zu erweitern. Letztere lesen etwa Hardware-Konfigurationen, Browser-Versionen und -Einstellungen aus. Anhand der DrawnApart-Daten lassen sich Geräte nach Software-Updates und umgesteckter Hardware besser identifizieren, solange dieselbe GPU zum Einsatz kommt.
Eine bisherige Technik zum Erzeugen von Fingerabdrücken heißt FP Stalker. Im Paper wurde diese einzeln sowie im Verbund mit DrawnApart über Monate hinweg auf mehr als 2500 Geräten getestet. Das Ergebnis: Die mittlere Tracking-Dauer stieg von 16 auf 30 Tage (+ 66,7 Prozent), wenn alle sechs Tage eine präparierte Webseite besucht wurde. Bei einem Intervall von sieben Tagen stieg die mittlere Tracking-Dauer von 17,5 auf 28 Tage (+ 60 Prozent). Nach diesen Zeiträumen ließen sich nur noch weniger als die Hälfte der Browser-Instanzen zuverlässig identifizieren.
(Bild: DrawnApart-Paper)
Noch mehr Potenzial mit WebGPU-API
Derzeit entwickeln Branchengrößen wie Apple, Mozilla, Microsoft und Google den potenziellen WebGL-Nachfolger WebGPU, der außer Grafik- auch komplexe Compute-Shader ausführen kann. Das Forschungsteam ließ testweise Mutex-Funktionen auf allen Shader-Gruppen einer GPU laufen und protokollierte, welche Shader-Gruppe wie schnell die Aufgabe erledigte. So verkürzte sich die Dauer zur Identifizierung von mittleren 8 Sekunden auf nur noch 150 Millisekunden – bei einer Klassifikationsgenauigkeit von 98 Prozent
Das Forschungsteam plädiert daher dafür, dass bei der Entwicklung neuer Browser-APIs auch das Thema Privatsphäre in den Fokus rückt. Das Unternehmenskonsortium Khronos Group hinter der WebGL-API untersucht zusammen mit Browser-Entwicklern Möglichkeiten, das Tracking mittels GPUs zu erschweren.
(mma)