Door deze fingerprinting-methodes word je online gevolgd

Allerlei partijen hebben er baat bij om te zien wat jij zoal online doet en laat. Adverteerders bijvoorbeeld. Een van de meest sneaky manieren om je te volgen is fingerprinting. Welke fingerprinting-methodes zijn er zoal?

Lees eerst: Fingerprinting - Agressieve opvolger van de cookie

Een unieke digitale vingerafdruk wordt gebouwd op basis van tientallen verschillende eigenschappen van het systeem van een gebruiker. Zo kijkt het naar de tijdzone waarop de computer is ingesteld, de schermresolutie en kleurdiepte, welke browser-extensies je hebt geïnstalleerd, welk platform je gebruikt, en welke lettertypen je hebt geïnstalleerd op je computer. Die informatie wordt al bij ieder bezoek aan een website via http-headers ingeladen en verstuurd naar de server van de tracker.

In sommige gevallen wordt die informatie opgevraagd door de website zelf, bijvoorbeeld door middel van een script op een pagina dat een unieke ID toekent aan een bezoeker. Dat is handig als die in de toekomst weer terugkomt. In andere gevallen gaat het echter ook om advertertentienetwerken of sociale media, die met fingerprinting-methodes proberen om te zien wat een gebruiker op het web doet.

Trackers vinden steeds geavanceerdere methodes om een gebruiker te kunnen volgen. Daarbij wordt allang niet meer alleen gekeken naar de instellingen in de browser, maar ook naar de computer zelf. Zo kan een tracker bijvoorbeeld kijken naar welke fonts geïnstalleerd zijn op het systeem. Hoewel het mogelijk is via Flash een lijst daarvan op te vragen, is die methode niet erg populair omdat veel gebruikers Flash tegenwoordig uitschakelen en steeds minder websites Flash gebruiken. Steeds meer trackers renderen tegenwoordig een groot aantal fonts en controleren in unicode met Javascript welke daarvan geïnstalleerd zijn.

Canvas fingerprinting

Eén van de meer recente manieren van browser-tracking is canvas-fingerprinting. Dat ontleent zijn naam uit het bekijken van het ‘canvas’ van het scherm; alle informatie die op dat moment in beeld staat. Dat gebeurt doorgaans met een html5-canvas-element dat een dynamische bitmap laadt in de browser. Een voorbeeld van een grote partij die dat doet is AddThis, een sociale-mediaplug-in die op miljoenen websites draait. AddThis werd in 2016 overgenomen door Oracle, en profileert zich met ‘een missie om het web persoonlijk te maken’.

Wanneer een bezoeker op een site komt waar AddThis op draait, wordt de browser geïnstrueerd om gegevens door de sturen over de exacte weergave van de plug-in. Andere websites die aan canvas-printing doen tekenen bijvoorbeeld een kleine (onzichtbare) lijn en kijken naar dat ‘canvas’. Het systeem kijkt vervolgens naar minuscule verschillen in de rendering van het canvas, bijvoorbeeld het lettertype of een kleur, en maakt op basis daarvan een uniek ‘token’ aan dat wordt gehasht. De verschillen worden veroorzaakt door een combinatie van de gpu, de browser en andere systeemeigenschappen van de gebruiker, en door kleine imperfecties in de videokaart die bij iedere gebruiker voor een unieke hash zorgt.

Bij canvas-fingerprinting wordt gekeken naar het renderen van een pagina door kleine imperfecties in de gpu

-

Canvas-fingerprinting is een relatief nieuwe technologie, die voor het eerst werd beschreven in een paper in 2012. Daarin werd gekeken naar de theoretische mogelijkheden om gebruikers op die manier te volgen. Het was daarna lang stil rondom de technologie, maar in 2014 kreeg de technologie wat meer bekendheid in de media nadat onderzoekers van de Universiteit van Leuven het fenomeen beschreven en het sindsdien vaker werd ingezet door adverteerders en websitebouwers.

AddThis is de grootste partij die canvas-printing op grote schaal inzet, al zegt het bedrijf dat aanvankelijk alleen te doen ‘voor onderzoek’. De techniek wordt overigens niet erg effectief genoemd door sommige beveiligingsonderzoekers. De methode is bijvoorbeeld niet geschikt om op grote schaal in te zetten. Op dit moment wordt er vooral gekeken naar een paar systeemconfiguraties waarvan de kans groot is dat andere gebruikers die ook hebben.

Op het moment dat je miljoenen gebruikers wil gaan volgen wordt die kans alleen maar groter. “Canvas-fingerprinting is alleen geschikt voor het volgen van groepjes gebruikers in bijvoorbeeld kleine online gemeenschappen”, schreef AdBlock Plus-oprichter Wladimir Palant ooit.

Cross-browser fingerprinting

Het is voor trackers veel efficiënter om op andere manieren een vingerafdruk toe te voegen, en vingerafdrukken hebben de voorkeur boven tracking-cookies. Ze zijn minder opdringerig, dus zijn gebruikers minder snel geneigd ze te blokkeren of te verwijderen. Bovendien is het veel moeilijker voor browsers om te zien wanneer een vingerafdruk wordt opgebouwd. Maar er zat ook een groot nadeel aan fingerprinting, want dat bleef altijd beperkt binnen de browser zelf. Het gebruik van meerdere browsers leverde altijd een probleem op voor veel trackers, want daarmee waren gebruikers niet overal te volgen.

Dat trucje is echter niet meer zo waterdicht als vroeger. Omdat trackers bij fingerprinting steeds vaker kijken naar hardware-eigenschappen of de gpu is fingerprinting niet meer alleen afhankelijk van een browser. Begin dit jaar brachten onderzoekers een rapport uit waarin zij lieten zien hoe ze met de juiste tracking-methodes 99,24 procent van alle respondenten wisten te achterhalen op basis van een unieke vingerafdruk wanneer die twee of meer browsers gebruikten. Dat kon door te kijken naar OS- en hardware-features.

Evercookies

Toch is fingerprinting nog steeds vaak afhankelijk van cookies en andere informatie waar browsers steeds vaker maatregelen tegen nemen. Zo integreerde Firefox in versie 52 een manier om font-based-fingerprinting te blokkeren. De heilige graal voor een tracker is om iets te maken dat gebruikers niet eens kúnnen verwijderen, zelfs als ze het zouden willen. Zoiets is er inmiddels ook al, zegt forensisch IT-onderzoeker en ethisch hacker Mischa van Geelen. Hij doelt op de ‘evercookie’, een opvolger van de ‘supercookie’ waarmee gebruikers al via hun provider over meerdere websites konden worden gevolgd. “Een evercookie is een cookie die vrijwel niet te verwijderen valt, omdat hij van zoveel verschillende tracking-methodes gebruik maakt.”

Zo’n evercookie is een cookie die met verschillende mechanismes wordt opgebouwd, met bijvoorbeeld zowel een html5 localStorage als een database storage, als https-eTags of als Flash- of Silverlight-storage. “Als je in een browser je cookies verwijdert wordt een evercookie op 14 van de 15 methodes weggegooid, maar op één manier blijft hij gewoon staan. De volgende keer dat je je browser dan weer opstart verspreidt die ene cookie zichzelf weer, zodat je op de één of andere manier altijd met zo’n cookie zit opgescheept.”

Volgens Van Geelen zijn zulke evercookies de volgende logische stap die trackers zullen inzetten, ook al bestaat het idee van zo’n cookie al een paar jaar. “Nu staat het hele proces nog in de kinderschoenen, maar wacht maar tot adverteerders of websitebeheerders straks weten hoe ze zulke dingen effectief kunnen inzetten. Dan wordt dat een heel aantrekkelijke manier van volgen.”

Op smartphones

Naast het gebruiken van meerdere browsers en het verwijderen hebben trackers nóg een probleem: browsen wordt steeds vaker gedaan op mobiele apparaten en dus met mobiele browsers. Traditionele fingerprinting-methodes voor de desktopbrowser werken daardoor niet zo goed op mobiele browsers, bijvoorbeeld door het gebrek aan plug-ins. Ook het feit dat gebruikers vaak verschillende browsers gebruiken zoals die in applicaties als Facebook is het lastig om een gebruiker te fingerprinten op één toestel – maar de opkomst van de smartphone is geen bedreiging voor adverteerders en bedrijven die zich met zulke trackingmethodes bezig houden. Ze moeten alleen hun fingerprinting-manieren aanpassen en waar de smartphone-browsers dat minder makkelijk maken, bieden telefoons meer dan genoeg andere volgmogelijkheden.

Telefoons bieden meer dan genoeg andere volgmogelijkheden

-

Wifi- en bluetooth-tracking zijn een logische manier om mobiele apparaten te volgen, en een methode die op dit moment al veelvuldig wordt toegepast. Er zijn bijvoorbeeld veel steden waar gratis wifi-netwerken liggen die gebruikers volgen, maar veel gemeentes gebruiken ook beacons om burgers op bepaalde plekken te volgen.

Statische en dynamische mac-adressen

Zowel Google als Apple probeert zijn gebruikers daartegen in bescherming te nemen. Apple voegde in 2014 mac-adres-randomization toe aan iOS 8, waarbij een telefoon constant semi-willekeurige mac-adressen aanmaakte dat pas een uniek adres werd als het daadwerkelijk met een netwerk verbond. Op die manier kunnen wifi-scanners geen mac-adressen koppelen aan unieke apparaten. Inmiddels is die functie op vrijwel iedere iPhone doorgevoerd.

Google volgde een paar maanden later, maar hoewel de functie beschikbaar is in Android 5 of hoger hebben maar weinig fabrikanten de feature ook daadwerkelijk geïmplementeerd. Uit een onderzoek in maart bleek dat slechts zes procent van alle Android-telefoons gebruikmaakt van zulke willekeurige mac-adressen. Dat maakt het nog steeds erg makkelijk om telefoons via een unieke ID te volgen.

Maar mac-adressen zijn slechts één manier om mobiele apparaten te fingerprinten. Onderzoekers vonden in juni 2016 tientallen manieren om telefoons te volgen – al zijn veel van die mogelijkheden vooral theoretisch. Het gaat niet alleen om basisinformatie zoals het aantal geïnstalleerde apps of de tijdzone van de telefoon, maar ook om veel subtielere informatie. Zo wisten de onderzoekers in een merendeel van de gevallen telefoons te fingerprinten op basis van sensoren zoals de gyroscoop. Op basis van kleine imperfecties kan een specifiek apparaat met redelijke zekerheid gevonden worden.

Maar goed, wat kun je nu zelf tegen fingerprinting ondernemen? Daarover in een later artikel meer.

Deel dit artikel
Voeg toe aan favorieten