Aggressive Methoden zum Nutzer-Tracking auf dem Vormarsch

Immer mehr Websites setzen neue Methoden ein, um das Verhalten der Nutzer nachzuverfolgen. Auf 5,5 Prozent der 100.000 weltweit meistbesuchten Seiten kommt das sogenannte Canvas Fingerprinting oder nicht minder hartnäckige Evercookies zum Einsatz, die sich anders als herkömmliche Cookies nicht einfach löschen lassen. Das hat eine Untersuchung der Universitäten Princeton (USA) und Löwen (Belgien) ergeben.

Alleine unter der Top-Level-Domain .de verfolgten im Untersuchungszeitraum vom 1. bis 5. Mai 2014 144 Websites Nutzer auf diese Weise – angefangen vom Naturschutzbund Deutschland e.V. (NABU) und der Tierschutzorganisation PETA über die Site des Autoherstellers Peugeot und den Webauftritten zahlreicher regionaler Tageszeitungen bis zu Serviceseiten wie IBAN-Rechner.de, MSN.de und dem Ticketverkäufer Eventim.

Den Forschern zufolge sind zwar 20 Provider beim Canvas Fingerprinting aktiv, 95 Prozent der nutzenden Websites lassen sich jedoch auf einen von ihnen zurückführen, nämlich Addthis.com. Außerdem ist nur noch der von der OnVista Group entwickelte und inzwischen zu Gruner + Jahr gehörende Dienst Ligatus hier nennenswert aktiv: Ihm sind 115 der insgesamt 5542 ermittelten Domains zuzuordnen.

Update 28. Juli 20:12: Bei in Deutschland betriebenen Webseiten, auf denen im Untersuchungszeitraum Skripte für Canvas Fingerprinting vom Anbieter Ligatus gefunden wurden, sollte dies inzwischen nicht mehr der Fall sein. Wie dieser gegenüber der Süddeutschen Zeitung erklärt hat, sei mit der Technik lediglich experimentiert worden, die Testphase aber inzwischen beendet.Update Ende

Canvas Fingerprinting wurde 2012 von Keaton Mowery und Hovav Shacham erstmals als Methode für das User-Tracking vorgeschlagen. Sie erläuterten, dass sich unter Ausnutzung der in modernen Browsern vorhandenen Canvas-API durch minimale Abweichungen im Rendering desselben Textes eine Art digitaler Fingerabdruck des Browsers erstellen lässt – und zwar in Sekundenbruchteilen und ohne dass der Nutzer sich dessen gewahr wird. Einmal so erfasst, lässt sich der Anwender bei jedem neuerlichen Besuch der Website eindeutig identifizieren.

Die zweite, zunehmend beliebter werdende Methode sind Evercookies: Aktuell setzen den Forschern zufolge 10 der 200 meistgenutzten Websites darauf. Sie entstehen aus der Kombination mehrerer Cookie-Arten und lassen sich aufgrund der mehrfachen Speicherung, die es ihnen erlaubt, sich zu rekonstruieren (daher auch die alternative Bezeichnung „Zombie-Cookies“), nur schwer löschen.

Als mögliche Gegenmaßnahmen diskutieren die Forscher von Princeton und Löwen in ihrem Bericht (PDF) Tools wie Ghostery, die einfach jeglichen Inhalt Dritter auf Webseiten blocken, sowie das Abschalten von Flash Cookies – was allerdings auch nur begrenzten Erfolg verspricht. Einige sogenannte Tracking-Vektoren lassen sich nämlich ihnen zufolge nicht oder nur mit Verlust wesentlicher Funktionen abschalten.

Ihrer Erfahrung nach ist der Tor-Browser der einzige, der erfolgreich vor Canvas Fingerprinting schützt: Er fragt jedesmal nach, ob das erlaubt, untersagt oder dieser Website für die Zukunft genehmigt werden soll. Gegen Third Party Cookies helfe das von der US-Bürgerrechtsorganisation EEF kürzlich bereitgestellte Privacy Badger. Von den Browser-Anbietern habe außer Mozilla in Ansätzen bisher keiner Bemühungen gestartet, gegen die neuen Tracking-Methoden etwas zu unternehmen.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Gefahren im Foxit PDF-Reader

Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.

2 Tagen ago

Bitdefender entdeckt Sicherheitslücken in Überwachungskameras

Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.

2 Tagen ago

Top-Malware in Deutschland: CloudEye zurück an der Spitze

Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…

2 Tagen ago

Podcast: „Die Zero Trust-Architektur ist gekommen, um zu bleiben“

Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…

3 Tagen ago

Google schließt weitere Zero-Day-Lücke in Chrome

Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…

3 Tagen ago

Hacker greifen Zero-Day-Lücke in Windows mit Banking-Trojaner QakBot an

Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…

3 Tagen ago