Wie Audio- und Batterie-Fingerabdrücke verwendet werden, um Sie online zu verfolgen

Websites und Werbefirmen lieben es zu wissen, wer Sie sind und was Sie im Web tun. Je mehr sie über Sie erfahren und was Ihnen gefällt, desto besser können sie Anzeigen auf Sie ausrichten. Natürlich sind die meisten Internetnutzer nicht besonders daran interessiert, ihnen solche vertraulichen und datenschutzintensiven Informationen zur Verfügung zu stellen. Dies führt zu einem eskalierenden Wettrüsten zwischen Werbetreibenden, die Website-Besucher eindeutig identifizieren und beim Surfen im Internet verfolgen möchten, und normalen Internetnutzern, die ihre Privatsphäre schützen möchten. Eine immer wichtigere Waffe im Werbearsenal ist das Fingerabdruckverfahren.


Ich habe schon einmal über Browser-Fingerabdrücke gesprochen. Diese invasive Technik verwendet Attribute, die Ihren Webbrowser von den Browsern anderer Benutzer unterscheiden (z. B. Browsername, Betriebssystem und genaue Versionsnummer des Browsers, installierte Schriftarten und Plugins, unterstützte Datentypen (sogenannte MIME-Typen), Bildschirm Auflösung, Systemfarben und mehr), um Sie beim Besuch einer Website eindeutig zu identifizieren. Und sobald Sie eindeutig identifiziert sind, können Sie verfolgt werden, wie Sie andere Websites besuchen.

Ich habe auch über Canvas-Fingerabdrücke gesprochen, eine spezielle Form des Browser-Fingerabdrucks, bei der ein Skript verwendet wird, das Ihren Browser auffordert, ein verborgenes Bild zu zeichnen, und dann anhand winziger Variationen, wie das Bild gezeichnet wird, einen eindeutigen ID-Code generiert, der dann verwendet werden kann um dich zu verfolgen.

Audio- (oder AudioContext-) Fingerabdruck

Forscher der Princeton University haben festgestellt (.pdf), dass eine neue Variante dieser Idee, das Audio-Fingerprinting, immer häufiger zum Einsatz kommt. Diese Technik nutzt die JavaScript AudioContect-API, um Benutzer eindeutig zu identifizieren,

„Audiosignale, die auf verschiedenen Computern oder Browsern verarbeitet werden, können aufgrund von Hardware- oder Softwareunterschieden zwischen den Computern geringfügige Unterschiede aufweisen, während die gleiche Kombination aus Computer und Browser die gleiche Ausgabe erzeugt. Wenn Sie die AudioContext-API für Fingerabdrücke verwenden, wird kein gespielter oder aufgezeichneter Ton erfasst von Ihrer Maschine. Ein AudioContext-Fingerabdruck ist eine Eigenschaft des Audiostacks Ihres Computers. “

Details zum Audio-Fingerabdruck

Wenn Sie Ihren Audio-Fingerabdruck sehen möchten, haben die Forscher die AudioContext-Fingerabdruck-Testseite erstellt, die eine Visualisierung Ihres Fingerabdrucks auf der Grundlage von Informationen bietet, die mit den auf Ihrem System installierten AudioContext- und Canvas-APIs gesammelt wurden.

Audiokontext-Fingerabdruck

Batterie (Status API) Fingerprinting

Diese Technik verwendet eine wenig bekannte HTML5-Funktion, die als Batteriestatus-API bezeichnet wird, um zu ermitteln, wie viel Batteriestrom noch auf Ihrem Laptop, Tablet oder Smartphone vorhanden ist, wenn Sie eine Website besuchen.

Das offizielle World Wide Web Consortium (W3C), die Organisation, die die Entwicklung der Webstandards überwacht, gibt an, dass diese API nur minimale Auswirkungen auf den Datenschutz hat. Ein Artikel (.pdf) französischer und belgischer Sicherheitsforscher fand dies jedoch heraus,

„Ein Drittanbieter-Skript, das auf mehreren Websites vorhanden ist, kann die Besuche der Benutzer in einem kurzen Zeitintervall verknüpfen, indem die für Web-Skripts bereitgestellten Batterieinformationen genutzt werden. Dazu können Skripte die Werte für Akkuladestand, Entladezeit und Ladezeit verwenden. Die Messwerte sind auf jeder Site konsistent, da die Aktualisierungsintervalle (und deren Zeiten) identisch sind. Dadurch kann das Drittanbieter-Skript diese gleichzeitigen Besuche verknüpfen. Wenn der Benutzer diese Websites verlässt und dann kurz darauf eine andere Website mit demselben Drittanbieter-Skript besucht, werden die Messwerte wahrscheinlich dazu verwendet, den aktuellen Besuch mit den vorherigen zu verknüpfen. “

Die Forscher stellten außerdem fest, dass neben der Verfolgung der Website-Besucher anhand ihres Akkuladezustands auch die Akkukapazität als Verfolgungsvektor verwendet werden könnte. Batterie-Fingerabdrücke werden auch in Princeton-Papieren erwähnt, obwohl diese Forscher nur zwei Skripte gefunden haben, die sie ausnutzten.

Tipp: Mein Dank geht an Leser Pogue, der den folgenden Tipp zum Deaktivieren der Batteriestatus-API in Firefox gesendet hat. In about: config set dom.battery.enabled = false

Kombinierte Tracking-Techniken

Das vielleicht interessanteste Ergebnis in der Studie von Princeton ist, dass Websites und Anzeigenanalyseunternehmen eine Reihe von Techniken einsetzen, die in der Lage sind, die immer energischeren Versuche der Benutzer, eine solche Nachverfolgung zu verhindern, zu verhindern,

„Ghostery und eine Kombination aus EasyList und EasyPrivacy weisen eine ähnliche Blockrate auf. Die Datenschutz-Tools blockieren den Fingerabdruck von Canvas-Schriftarten auf über 80% der Websites und den Fingerabdruck von Canvas-Schriftarten auf über 90%. Es wird jedoch nur ein Bruchteil der Gesamtzahl der Skripte blockiert, die diese Techniken verwenden (zwischen 8% und 25%), was darauf hinweist, dass weniger beliebte Dritte vermisst werden. Weniger bekannte Techniken wie die WebRTC-IP-Erkennung und das Audio-Fingerprinting weisen noch geringere Erkennungsraten auf. “

Das Fingerprinting von Canvas-Schriftarten ist eine Funktion des „normalen“ Browser-Fingerprinting (mithilfe einer Browser-Schriftartenliste zur Identifizierung eines Benutzers), und die WebRTC-IP-Erkennung ist dieselbe „Funktion“, mit der Websites auch bei Verwendung eines VPNs die wahre IP-Adresse des Benutzers ermitteln können ( der WebRTC "Bug").

Fazit

Gerade aufgrund des weit verbreiteten Einsatzes derart invasiver und geradezu hinterhältiger Taktiken durch Werbetreibende wenden sich immer mehr Internetnutzer an Adblocker. Websites und Werbefirmen beklagen den Einnahmeverlust, sind aber selbst schuld.

Wir gaben ihnen nicht die Erlaubnis, uns auszuspionieren, und bauten immer genauere und gruseligere Profile von uns auf, während wir im Internet surfen, um uns besser auszupeitschen. Als wir explizite Maßnahmen ergriffen, um dies zu verhindern (z. B. das Erlernen des Umgangs mit Cookies), führten Websites einen Krieg gegen ihre eigenen Besucher (und Kunden)..

Es wurden immer mehr hinterhältige Methoden entwickelt, um Interessensnutzer auszuspionieren, obwohl sie sowohl unseren Interessen als auch unseren Wünschen zuwiderlaufen..

Websites müssen mit den oft großartigen Inhalten oder Diensten, die sie bereitstellen, Geld verdienen, aber bis sie dies ehrlich, transparent und mit einem Modell tun, das unsere Privatsphäre nicht gegen unsere Wünsche verstößt, wird der Anstieg der Verbraucher, die mit ihren Adblockern abstimmen, nur dazu führen erhebt euch.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me