Browser-Fingerprinting: Installierte Apps als Tracking-Komplizen

Durch ein Schlupfloch lassen sich viele Browser eindeutig identifizieren. Bis vor kurzem war sogar der Tor Browser betroffen.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 65 Beiträge

(Bild: FingerprintJS)

Von
  • Ronald Eikenberg

Eine neue Trackingmethode gefährdet die Privatsphäre fast aller Browsernutzer: Die SchemeFlood genannte Technik überprüft, welche Anwendungen auf dem Rechner installiert sind und berechnet daraus eine Fingerprint-ID zur Wiedererkennung der Personen – ganz ohne Cookies. Das klappt mitunter auch browserübergreifend. Bis vor kurzem war sogar der Tor-Browser betroffen.

Bei SchemeFlood überprüft die Website anhand einer langen Liste von Applikationen, welche davon auf dem Rechner des Besuchers installiert sind. Normalerweise kann sie das nicht in Erfahrung bringen, es gibt jedoch ein Schlupfloch: Die sogenannten URL-Handler (auch Protokoll-Handler genannt). Programme wie Skype, Spotify oder TeamViewer registrieren solche Handler, damit die Nutzerin oder der Nutzer direkt von einer Website in eine bestimmte Stelle des Programms springen kann, zum Beispiel in einen Gruppenchat oder zu einem Musikalbum. Der Aufbau einer solchen URL ist simpel: skype://12345

SchemeFlood demonstriert anschaulich, dass Browser anhand der auf dem System installierten Programme wiedererkennbar sind.

Landet eine Person auf einer solchen URL, etwa durch eine Weiterleitung des Servers, fragt der Browser, ob die damit verknüpfte Anwendung geöffnet werden soll. Und genau das ist offenbar der Knackpunkt: SchemeFlood schickt sie auf eine ganze Batterie solcher Anwendungs-URLs und checkt dann für jede einzelne, ob der Browser fragt, ob die dazugehörigen Apps gestartet werden soll.

Das genaue Vorgehen unterscheidet sich von Browser zu Browser. Firefox etwa zeigt beim Verweis auf einen nicht registrierten URL-Handler eine interne Fehlerseite an. Ist eine passende Anwendung installiert, öffnet Firefox hingegen die leere Seite about:blank, während Nutzerin oder Nutzer gefragt werden, ob die App geöffnet werden soll. Aufgrund der Same-Origin-Policy, einem fundamentalen Schutzkonzept aller Browser, darf die Website zwar nicht auf die Fehlermeldung zugreifen – sehr wohl jedoch auf die leere about:blank-Seite. Die Website hat somit einen klaren Indikator dafür, ob ein bestimmtes Programm installiert ist oder nicht.

Der Tracking-Experte Konstantin Darutkin von FingerprintJS hat die Trackingmethode entdeckt und eine Demo-Website entwickelt, über die man herausfinden kann, ob der eigene Browser betroffen ist. Spoiler: wahrscheinlich schon. Die Website überprüft die Existenz von 24 weit verbreiteten Programmen, prinzipiell lässt sich diese Liste aber beliebig erweitern. So ließe sich etwa auch herausfinden, ob bestimmte Spezialanwendungen vorhanden sind, die nur von einem kleinen Nutzerkreis eingesetzt werden. Je länger die Liste ist, desto länger dauert die Überprüfung jedoch. Je nach Browser kann schon die Demoseite rund 10 Sekunden benötigen, um die 24 Programme durchzugehen

Bei unseren Tests mit den wichtigsten Desktop-Browsern hat die Demoseite stets einen langlebigen Identifier geliefert. Bei den Chromium-basierten auf dem gleichen Rechner war dieser sogar identisch, sodass hier ein browserübergreifendes Tracking möglich wäre. Unter den über 50.000 IDs, die bisher von der Demo generiert wurden, war unsere stets einzigartig oder zumindest nah dran. In einem größeren Datenpool wäre die Chance, auf einen Zwilling mit gleichen Apps zu treffen, natürlich höher. In Kombination mit weiteren Merkmalen ließe sich das Ergebnis jedoch weiter verschärfen.

Bei der aktuellen Version des Tor Browsers zeigt die Demoseite zwar nach wie vor eine ID an, diese ist jedoch bei allen Nutzerinnen und Nutzern identisch.

Besonders brisant ist, dass SchemeFlood zunächst sogar für den Tor Browser eine individuelle ID generierte, die sich auch nach einem Neustart des Browsers nicht änderte. Das Trackingverfahren eignete sich also, um Nutzerinnen und Nutzer des Tor-Netzes zu deanonymisieren oder steuerte zumindest einen guten Teil dazu bei. Der Tor Browser basiert zwar auf Firefox, er wird vom Tor-Entwicklerteam jedoch angepasst – um Datenschutz-Lecks wie dieses zu beseitigen.

So geschah es auch im aktuellen Fall: Der jüngst veröffentlichte Tor Browser 10.0.17 macht ohne viel Aufhebens Schluss mit SchemeFlood, während die aktuelle Firefox-Version noch anfällig ist. Wir konnten verifizieren, dass das Tor-Update wirksam ist: Die Demoseite generiert zwar nach wie vor eine ID, diese ist jedoch nicht individuell, weil die Seite keine installierten Programme ermitteln konnte. Sie ist also bei allen Nutzerinnen und Nutzern der aktuellen Tor-Version identisch.

Mehr von c't Magazin Mehr von c't Magazin

Es ist davon auszugehen, dass auch die Entwickerteams der anderen Browser nachziehen. In den Bugtrackern von Chromium und Firefox wird SchemeFlood bereits diskutiert. Details zu der Trackingmethode und der Anfälligkeit der verschiedenen Browser finden sich im Blog in FingerprintJS. (rei)