Forscher: Websites überwachen Nutzer mit Audio-Fingerabdrücken

Erste Websites haben damit begonnen, Nutzer anhand eines so genannten Audio-Fingerabdrucks zu identifizieren und zu überwachen. Das schreiben die Forscher Arvind Narayanan und Steven Englehardt von der US-Universität Princeton in einem Forschungsbericht (PDF). Mit einer Testseite demonstrieren sie zudem jedem Interessierten, welche Hinweise auf seine Identität er Webseiten mit seinem Besuch gibt.

Um die AudioContext API zu nutzen, muss nicht etwa die Genehmigung eingeholt werden, aufs Mikrofon des Systems zuzugreifen. „Ein AudioContext-Fingerabdruck ist eine Eigenschaft des Audio-Stacks Ihres Systems“, erklären die Forscher auf ihrer Testseite. Wie viele von einer Million untersuchter Websites genau diese Technik einsetzen, sagen sie nicht. Sie sei noch wenig verbreitet, aber letztlich auch nur einer in einer ganzen Reihe Faktoren, um Anwender auch ohne Einsatz von Cookies seitenübergreifend zu identifizieren.

Beispielsweise fanden die beiden ein Skript, das den aktuellen Ladestand eines Geräts, die verfügbaren Schriftarten und eine über WebRTC ermittelte lokale IP-Adresse zu einem Profil kombinierte. WebRTC ist das noch junge Framework für Echtzeitkommunikation im Web. Von einer Million untersuchter Websites nutzen es bisher 715, um die lokale IP-Adresse des Anwenders zu ermitteln. Die meisten sind Drittanbieter-Tracker.

Die verfügbaren Schriftarten lassen sich über die HTML Canvas API ermitteln. Diese Methode schließen 3250 Seiten in ihre eigenen Tracking-Skripte ein. 14.371 Sites luden aber Drittanbieter-Tracking-Skripte von 400 unterschiedlichen externen Domains.

Audio-Fingerabdruck (Screenshot: ZDNet)

Mit Canvas Fingerprinting hatten sich die beiden Forscher 2014 ausführlich beschäftigt. Seither habe es drei maßgebliche Trend gegeben, schreiben sie. Erstens hätten die bekanntesten Tracker wohl aufgrund der öffentlichen Empörung aufgehört, es zu nutzen. Zweitens habe die Zahl der Domains insgesamt dennoch deutlich zugenommen. Drittens liege der Fokus nun auf Tracking zur Betrugserkennung, was mit Standards zur Selbstregulierung der Werbebranche für akzeptables Tracking vereinbar sei.

Eine weitere wichtige Erkenntnis der Wissenschaftler ist, dass Nutzer heute typischerweise nur noch wenigen Drittanbieter-Trackern begegnen. „Die führenden fünf und zwölf unter den ersten 20 sind Google-Domains. Zudem sind Facebook, Google und Twitter die einzigen Drittanbieter, die auf mehr als 10 Prozent aller Sites zu finden sind.“ Das weise auf eine Konsolidierung hin und verbessere die Chancen, durch öffentlichen Druck oder Klagen Maßnahmen für besseren Schutz der Privatsphäre zu etablieren.

Besonders häufig sind Tracker auf Nachrichtensites (Bild: Universität Princeton).

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

LG zeigt elastisches OLED-Display

Es lässt sich um bis zu 50 Prozent dehnen. Allerdings besitzt es eine deutliche geringere…

14 Stunden ago

BSI zu Cybersicherheit: Bedrohungslage bleibt angespannt

Allerdings nimmt auch die Resilienz gegenüber Cyberattacken zu. Das BSI hat außerdem die Cybersicherheit anstehender…

14 Stunden ago

IT-Ausgaben in Europa steigen 2025 voraussichtlich um 8,7 Prozent

Es ist das größte Wachstum in einem Jahr seit 2021. Unter anderem lässt das Interesse…

23 Stunden ago

Magento-Agentur für große Webshops: Was sollte die Magento-Agentur leisten können?

Magento zählt zu den führenden Shopsystemen in der Welt. Es punktet mit hoher Flexibilität und…

2 Tagen ago

Trojaner tarnt sich als AutoCAD

SteelFox gelangt über angebliche Cracks für kostenpflichtige Anwendungen auf die Rechner seiner Opfer. Betroffen sind…

2 Tagen ago

Ymir: Ransomware mit ausgeklügelter Verschleierung

Ymir nutzt fortschrittliche Verschleierungsmethoden. Sie verschlüsselt bestimmte Dateien auf einer Whitelist nicht, um einer Entdeckung…

2 Tagen ago