Forscher: Websites überwachen Nutzer mit Audio-Fingerabdrücken

Erste Websites haben damit begonnen, Nutzer anhand eines so genannten Audio-Fingerabdrucks zu identifizieren und zu überwachen. Das schreiben die Forscher Arvind Narayanan und Steven Englehardt von der US-Universität Princeton in einem Forschungsbericht (PDF). Mit einer Testseite demonstrieren sie zudem jedem Interessierten, welche Hinweise auf seine Identität er Webseiten mit seinem Besuch gibt.

Um die AudioContext API zu nutzen, muss nicht etwa die Genehmigung eingeholt werden, aufs Mikrofon des Systems zuzugreifen. „Ein AudioContext-Fingerabdruck ist eine Eigenschaft des Audio-Stacks Ihres Systems“, erklären die Forscher auf ihrer Testseite. Wie viele von einer Million untersuchter Websites genau diese Technik einsetzen, sagen sie nicht. Sie sei noch wenig verbreitet, aber letztlich auch nur einer in einer ganzen Reihe Faktoren, um Anwender auch ohne Einsatz von Cookies seitenübergreifend zu identifizieren.

Beispielsweise fanden die beiden ein Skript, das den aktuellen Ladestand eines Geräts, die verfügbaren Schriftarten und eine über WebRTC ermittelte lokale IP-Adresse zu einem Profil kombinierte. WebRTC ist das noch junge Framework für Echtzeitkommunikation im Web. Von einer Million untersuchter Websites nutzen es bisher 715, um die lokale IP-Adresse des Anwenders zu ermitteln. Die meisten sind Drittanbieter-Tracker.

Die verfügbaren Schriftarten lassen sich über die HTML Canvas API ermitteln. Diese Methode schließen 3250 Seiten in ihre eigenen Tracking-Skripte ein. 14.371 Sites luden aber Drittanbieter-Tracking-Skripte von 400 unterschiedlichen externen Domains.

Mit Canvas Fingerprinting hatten sich die beiden Forscher 2014 ausführlich beschäftigt. Seither habe es drei maßgebliche Trend gegeben, schreiben sie. Erstens hätten die bekanntesten Tracker wohl aufgrund der öffentlichen Empörung aufgehört, es zu nutzen. Zweitens habe die Zahl der Domains insgesamt dennoch deutlich zugenommen. Drittens liege der Fokus nun auf Tracking zur Betrugserkennung, was mit Standards zur Selbstregulierung der Werbebranche für akzeptables Tracking vereinbar sei.

Eine weitere wichtige Erkenntnis der Wissenschaftler ist, dass Nutzer heute typischerweise nur noch wenigen Drittanbieter-Trackern begegnen. „Die führenden fünf und zwölf unter den ersten 20 sind Google-Domains. Zudem sind Facebook, Google und Twitter die einzigen Drittanbieter, die auf mehr als 10 Prozent aller Sites zu finden sind.“ Das weise auf eine Konsolidierung hin und verbessere die Chancen, durch öffentlichen Druck oder Klagen Maßnahmen für besseren Schutz der Privatsphäre zu etablieren.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.