Die meisten Internetnutzer sind sich darüber bewusst, dass ihre Aktivitäten im Netz von vielen Webseiten getrackt werden. Zwar verhindert der Gesetzgeber dies durch die DSGVO und es existieren auch etliche Anti-Tracking Erweiterungen für den Browser; jedoch haben Forscher der Universität von Illionis in Chicago eine Mehtode entdeckt, durch Favicons relativ unbemerkt Benutzer zu tracken.
Für Personen die im Netz nicht getrackt werden wollen, existiert eine große Bandbreite an verschiedenen Möglichkeiten nicht getrackt zu werden. Diese Bemühungen schützen aber nur gegen öffentlich bekannte Methoden des Web-Trackings. Forscher der Universität von Illionis haben im Rahmen einer kürzlich veröffentlichten Arbeit eine Tracking-Methode vorgestellt, die nicht umgangen werden kann, indem man Cookies löscht oder die Dienste eines VPN oder des Icognito-Modus verwendet. Bei dieser Technologie handelt es sich um eine Art von „Geräte-Fingerabdruck“ der unter der Verwendung von Favicons erstellt wird. Wie diese Technik genau funktioniert und wie man das Tracking durch diese Technologie verhindern kann, erfahren Sie im nun folgenden Artikel:
Geräte-Fingerprinting funktioniert im Allgemeinen durch Kombination von genügend Geräteeigenschaften wie Bildschirmauflösung, installierte Addons, Display-Sprache, Suchverhalten und viele weitere Eigenschaften, deren Kombination es ermöglichen, ein Gerät genau zu identifizieren. An diese Informationen gelangt das Programm, in dem es eine Lücke beim Webbrowser-Verhalten ausnutzt. Jedes mal wenn ein Webbrowser eine Website lädt, stellt er automatisch eine Anfrage an den Server, um die Favicon-Bilddatei zu suchen und diese im Cache zu speichern. Anstatt aber nur mit einem einzelnen Favicon zu interagieren, leitet der Tracking-Server den Webbrowser durch eine Reihe von Subdomains. Jede dieser Subdomain besitzt dabei ein unterschiedlich benanntes Favicon. Diese Favicon-Dateien werden in einem separaten Cacheordner gespeichert.
Um nun aber jedem Geräte eine individuelle Tracking-ID zu geben, wird im ersten Schritt der Nutzer immer nur auf einige der Subdomains weitergeleitet, wo er die jeweiligen Favicons herunterlädt. Wenn nun die Webseite einen wiederkehrenden Besucher bemerkt, nämlich durch das Ablesen der heruntergeladenen Favicons, wird er durch weitere Subdomains umgeleitet, um zu sehen welche Favicons der Webbrowser noch herunterladen muss und welche bereits im Cache sind. Der Besucher wird also durch die ihm fehlenden Favicons identifiziert.
In 2 Sekunden bis zu 4,3 Milliarden Browser identifizieren
Dieses Fingerprinting-Verfahren kann nicht verhindert durch das Löschen des regulären Browser-Caches verhindert werden, da die Favicons in einem speziellen Cache namens F-Cache gespeichert werden, der unter normalen Umständen nie gelöscht wird. Die Anzahl der weiterleitenden Subdomains, die für das Tracking benötigt werden hängt von der Anzahl der Besucher einer Website ab. Jede Weiterleitung fügt 1 Bit an Information zur Kennung hinzu. Lediglich 32 Bit würden also erlauben eine Website einen Fingerabdruck von 4,3 Milliarden Browsern anzufertigen. Die Rekonstruktion eines 32-Bit-Identifikators würde, laut den Forschern, lediglich um die 2 Sekunden dauern. Nur etwa 20% der populärsten Webseiten im Netz werden unter guten Bedingungen in unter 4 Sekunden geladen, wodurch die meisten Benutzer die zusätzliche Verzögerung ohnehin nicht bemerken würden.
Auch muss das Weiterleiten nicht beim ersten Laden der jeweiligen Webseite stattfinden. Die Forscher stellten fest, dass dies auch über andere Mechanismen, wie zum Beispiel das versteckte Weiterleiten mithilfe von Javascript -Animationen möglich ist oder während der Nutzer damit beschäftigt ist, den Cookie-Banner zu lesen und zu klicken. Diese Technik funktionierte ursprünglich auf den Browsern Chrome, Safari, Edge. Der einzige häufiger genutzte Browser, bei dem das nicht funktionierte war der Mozilla Firefox. Der Grund hierfür ist, dass der Firefox den Favicon-Cache nie richtig genutzt hat – ob dies beabsichtigt war oder ob es sich hierbei um ein Fehler handelt, ist nicht bekannt. Die Chrome- und Safari Teams arbeiten aktuell an einem Fix, während das Edge-Team dies als dieses Problem als ein Nicht-Microsoft-Problem ansieht, weswegen aktuell nichts dagegen unternommen wird. Bis es eine Möglichkeit gibt, dieses Problem zu lösen, existiert nur eine Möglichkeit, sich bei der Nutzung des Chrome-, Safari- und Edgebrowsers gegen das Tracking zu wehren; nämlich durch das manuelle Löschen des Favicon-Cache.
Quelle: https://www.cs.uic.edu/~polakis/papers/solomos-ndss21.pdf