Tracking: Forscher zeigen erstmals zuverlässige Methode für Browser-übergreifendes Fingerprinting
Insbesondere große Online-Werbenetzwerke glauben auf die Erkennung des Nutzers ohne dessen Zustimmung angewiesen zu sein. Aber um sie braucht und nicht bange zu sein: Wenn ihnen allmählich Cookies, versteckte Flash-Inhalte und das sogenannte Font-Fingerprinting unmöglich gemacht werden, gibt es noch andere und sogar bessere Tracking-Methoden.
Seit einigen Jahren hat die Werbebranche – und hier insbesondere die großen Werbenetzwerke und Dienstleister – Bemühungen forciert, Online-Nutzer Seiten übergreifend auch ohne deren Zustimmung tracken zu können. Sie argumentiert, dass sei notwendig, um Werbung gezielt ausspielen zu können, macht es sich aber oft nur zunutze, um einmal identifizierte Nutzer auch in einem anderen Zusammenhang mit der Werbung „versorgen“ zu könne, für die woanders eigentlich viel mehr bezahlt werden müsste. Bekanntestes Beispiel sind vielleicht die Angebote für Hotels in Stadt X, die einen wochenlang begleiten, nachdem man sich auf einer bekannten Buchungsseite gezielt nach Hotels in Stadt X erkundigt hat.
Um das zu Erreichen wurde zunächst Cookies, dann hartnäckigere Cookies (sogenannte “Evercookies”) dann lediglich pixelgroße Bilder oder versteckte, winzige Flash-Inhalte über das Web verteilt. Schließlich gelang es mit dem von Datenschützern kritisierten Browser-Fingerprinting und Font-Fingerprinting, also dem Auslesen der Browserdaten und der auf einem Rechner installierten Schriften, Abwehrversuche zu umgehen beziehungsweise die Nachverfolgung von Nutzern effektiver zu machen.
Nachdem Google bei Chrome und Mozilla bei Firefox die Unterstützung für Flash deutlich zurückgefahren haben und Mozilla im Frühjahr mit der Version 52 von Firefox auch das Auslesen der installierten Schriften (Font-Fingerprinting) verhindern will, hat man sich bei Werbenetzwerken bestimmt schon Gedanken gemacht, wie abtrünnige Nutzer dennoch im Blick behalten werden könnten. Und möglicherweise ist man zu ähnlichen Ergebnisse gekommen, wie sie jetzt Yinzhi Cao und Song Li von der Lehigh University in Pennsylvania sowie Erik Wijmans von der Washington University in St. Louis vorgelegt haben (PDF).
Cao, Li und Wijmans zufolge ist ihre Methode die erste echte Browser-übergreifende Technik. Eine frühere, die IP-Adressen zu Hilfe nimmt, ist aus naheliegenden Gründen nicht zuverlässig genug: Privatanwender bekommen viel zu oft dynamisch IP-Adressen zugewiesen, hinter statischen IP-Adressen von Firmen können sich tausende von Personen verbergen. Und bei Mobilgeräten, die sich ständig in neuen WLANs anmelden, versagt die Methode hoffnungslos.
IBM und IoT – Alles dreht sich um Watson
Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.
Die neue Methode nutzt dagegen unterschiedliche Funktionen von Betriebssystem und Hardware so, dass Rechner unabhängig davon erkannt werden können, welchen Browser der Anwender gerade nutzt. Damit wäre dann wahrscheinlich auch eine von Mozilla im vergangenen Jahr experimentell vorgestellte Funktion, mehrere Online-Identitäten zu nutzen, hinfällig. Den drei Wissenschaftlern reichen für ihre Tracking-Methode die Informationen aus, die der Browser preisgeben muss, um die Seite vernünftig darstellen zu können. In ihrem Papier beschreiben die drei Forscher ausführlich, wie sie dazu Client-seitige Rendering-Aufgaben nutzen. Die übertragen sie dem Browser via JavaScript.
Dadurch erhalten die Forscher unter anderem Informationen zu Bildschirmauflösung, virtuellen CPU-Cores, den installierten Schriftarten, sowie über GPU-Features, die bei Rendering, Anti-Aliasing, Shading und Transparenzberechnungen genutzt werden. Damit lassen sich dann Rechner sogar genauer identifizieren als mit bisherigen Tracking-Methoden: Ihrem Papier zufolge erreichen sie eine Trefferquote von 99,24 Prozent. Bisher waren knapp 91 Prozent möglich.
Der einzige Browser, der sich den Ausspähversuchen der drei Wissenschaftler erfolgreich widersetzen konnte, ist der Tor-Browser. Grund dafür ist, dass der für zahlreiche von ihnen über JavaScript und die API angeforderte Werte normalisierte Daten übergibt. Lediglich beim Seitenverhältnis des genutzten Bildschirms und dem genutzten Audio-Stack schwindelt der Browser nicht. Das aber ist zu wenig, um einzelne Rechner zu identifizieren.