Categories: MarketingWerbung

Tracking: Forscher zeigen erstmals zuverlässige Methode für Browser-übergreifendes Fingerprinting

Seit einigen Jahren hat die Werbebranche – und hier insbesondere die großen Werbenetzwerke und Dienstleister – Bemühungen forciert, Online-Nutzer Seiten übergreifend auch ohne deren Zustimmung tracken zu können. Sie argumentiert, dass sei notwendig, um Werbung gezielt ausspielen zu können, macht es sich aber oft nur zunutze, um einmal identifizierte Nutzer auch in einem anderen Zusammenhang mit der Werbung „versorgen“ zu könne, für die woanders eigentlich viel mehr bezahlt werden müsste. Bekanntestes Beispiel sind vielleicht die Angebote für Hotels in Stadt X, die einen wochenlang begleiten, nachdem man sich auf einer bekannten Buchungsseite gezielt nach Hotels in Stadt X erkundigt hat.

Um das zu Erreichen wurde zunächst Cookies, dann hartnäckigere Cookies (sogenannte “Evercookies”) dann lediglich pixelgroße Bilder oder versteckte, winzige Flash-Inhalte über das Web verteilt. Schließlich gelang es mit dem von Datenschützern kritisierten Browser-Fingerprinting und Font-Fingerprinting, also dem Auslesen der Browserdaten und der auf einem Rechner installierten Schriften, Abwehrversuche zu umgehen beziehungsweise die Nachverfolgung von Nutzern effektiver zu machen.

Nachdem Google bei Chrome und Mozilla bei Firefox die Unterstützung für Flash deutlich zurückgefahren haben und Mozilla im Frühjahr mit der Version 52 von Firefox auch das Auslesen der installierten Schriften (Font-Fingerprinting) verhindern will, hat man sich bei Werbenetzwerken bestimmt schon Gedanken gemacht, wie abtrünnige Nutzer dennoch im Blick behalten werden könnten. Und möglicherweise ist man zu ähnlichen Ergebnisse gekommen, wie sie jetzt Yinzhi Cao und Song Li von der Lehigh University in Pennsylvania sowie Erik Wijmans von der Washington University in St. Louis vorgelegt haben (PDF).

Cao, Li und Wijmans zufolge ist ihre Methode die erste echte Browser-übergreifende Technik. Eine frühere, die IP-Adressen zu Hilfe nimmt, ist aus naheliegenden Gründen nicht zuverlässig genug: Privatanwender bekommen viel zu oft dynamisch IP-Adressen zugewiesen, hinter statischen IP-Adressen von Firmen können sich tausende von Personen verbergen. Und bei Mobilgeräten, die sich ständig in neuen WLANs anmelden, versagt die Methode hoffnungslos.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Die neue Methode nutzt dagegen unterschiedliche Funktionen von Betriebssystem und Hardware so, dass Rechner unabhängig davon erkannt werden können, welchen Browser der Anwender gerade nutzt. Damit wäre dann wahrscheinlich auch eine von Mozilla im vergangenen Jahr experimentell vorgestellte Funktion, mehrere Online-Identitäten zu nutzen, hinfällig. Den drei Wissenschaftlern reichen für ihre Tracking-Methode die Informationen aus, die der Browser preisgeben muss, um die Seite vernünftig darstellen zu können. In ihrem Papier beschreiben die drei Forscher ausführlich, wie sie dazu Client-seitige Rendering-Aufgaben nutzen. Die übertragen sie dem Browser via JavaScript.

Dadurch erhalten die Forscher unter anderem Informationen zu Bildschirmauflösung, virtuellen CPU-Cores, den installierten Schriftarten, sowie über GPU-Features, die bei Rendering, Anti-Aliasing, Shading und Transparenzberechnungen genutzt werden. Damit lassen sich dann Rechner sogar genauer identifizieren als mit bisherigen Tracking-Methoden: Ihrem Papier zufolge erreichen sie eine Trefferquote von 99,24 Prozent. Bisher waren knapp 91 Prozent möglich.

Der einzige Browser, der sich den Ausspähversuchen der drei Wissenschaftler erfolgreich widersetzen konnte, ist der Tor-Browser. Grund dafür ist, dass der für zahlreiche von ihnen über JavaScript und die API angeforderte Werte normalisierte Daten übergibt. Lediglich beim Seitenverhältnis des genutzten Bildschirms und dem genutzten Audio-Stack schwindelt der Browser nicht. Das aber ist zu wenig, um einzelne Rechner zu identifizieren.

Redaktion

Recent Posts

Traditionelle Sicherheit versus Zero Trust-Architektur

Zero Trust richtig eingesetzt, kann es Organisationen bei der Umsetzung ihrer Transformation unterstützen, sagt Nathan…

10 Stunden ago

Router-Update legt Microsofts Online-Dienste lahm

Eigentlich sollte nur eine IP-Adresse geändert werden. Ein dazu benutzter Befehl legt über einen Router…

20 Stunden ago

Valide Ergebnisse in zehn Sekunden statt zwei Monaten

Feuerwehr Düsseldorf greift für die strategische Standortplanung auf ein geodatenbasiertes Tool zu.

1 Tag ago

Nürburgring auf Digitalisierungskurs

Die "Grüne Hölle" soll mithilfe Künstlicher Intelligenz noch sicherer werden.

1 Tag ago

Führungskräfte brauchen ökologisches Händchen

Gartner: 70 Prozent der Führungskräfte in der Technologiebeschaffung müssen bis 2026 Leistungsziele erreichen, die auf…

1 Tag ago

Deutsche sind klar Letzte in punkto Datenschutz

Cisco Consumer Privacy Survey zeigt: 57 Prozent der Deutschen sehen sich nicht in der Lage,…

1 Tag ago