Das ist der Schlüssel zum digitalen Fingerabdruck im Internet
Eine neue Studie zeigt, wie CSS-Funktionen das Tracking von Nutzerinnen und Nutzern im Web und sogar in E-Mails ermöglichen. Durch die Analyse von Schriftarten und anderen CSS-Elementen lassen sich detaillierte Profile erstellen. Welche Gefahren birgt dieser digitale Fingerabdruck und wie können sich Nutzende schützen?
Computer-Nutzerinnen und -nutzer werden aufgrund von Tracking-Cookies oft ungewollt vermessen.
Foto: PanterMedia / suwannar1981.gmail.com
Das Zusammentragen verschiedener Merkmale wie Prozessortyp, IP-Adresse, Browser und installierte Schriftarten erlaubt die Erstellung eines präzisen, mitunter einzigartigen Profils von Internetnutzenden. Dieses als Browser Fingerprinting bekannte Verfahren verwendet Informationen zu den Browsereinstellungen und dem zugrundeliegenden Betriebssystem. Aktuelle Forschungsergebnisse von Leon Trampert und Kollegen vom CISPA Helmholtz Center for Information Security deuten darauf hin, dass Tracking nicht nur beim Surfen im Web, sondern auch in E-Mails möglich ist – mithilfe von CSS (Cascading Style Sheets), einer Sprache zur Gestaltung von Websites.
Selbst in einer großen Menge von Websitebesuchenden sind einzelne Nutzerinnen und Nutzer oft eindeutig identifizierbar. Der Grund dafür liegt in der weitverbreiteten Verwendung von JavaScript. Die Programmiersprache gestattet das Sammeln spezifischer Attribute zu den genutzten Geräten und Einstellungen. Ursprünglich sollten diese Daten Webentwicklerinnen und -entwickler dabei unterstützen, das Nutzererlebnis und die Funktionalität zu optimieren. Doch dieses Wissen birgt auch Missbrauchspotenzial. „Mittlerweile ist das Fingerprinting über JavaScript ziemlich bekannt. Menschen, denen Privatsphäre besonders wichtig ist, können sich schützen, indem sie JavaScript blockieren. Das geht entweder mithilfe von Plugins oder durch Nutzung des Tor-Browsers. Das kann zum Beispiel für Journalistinnen und Journalisten, die Angst vor Verfolgung haben, hilfreich sein“, erläutert Leon Trampert.
CSS als neue Quelle für den digitalen Fingerabdruck
Doch wo eine Tür sich schließt, öffnet sich häufig eine andere – so auch beim Fingerprinting. „Forschende haben kürzlich herausgefunden, dass auch durch den Einsatz von CSS Infos über Nutzende durchsickern können“, berichtet Trampert. CSS steuert das Layout von Websites, definiert Schriftarten, Farben und Größen von Elementen und ermöglicht die Anpassung an verschiedene Bildschirmgrößen. Trampert: „CSS wird immer beliebter und hat in den vergangenen Jahren immer neue Funktionen hinzugewonnen. Einige davon wurden von Forschungskolleginnen und -kollegen bereits auf ihr Potenzial für Privatsphäre-Verletzungen untersucht. Eine ganzheitliche Betrachtung stand allerdings noch aus.“ Deshalb analysierte Trampert systematisch moderne CSS-Funktionen: „Wir wollten sehen, wieviel wir damit herausfinden können und ob CSS das Tracking auch jenseits des Webs ermöglicht.“
Trampert untersuchte mehrere Fingerprinting-Ansätze und identifizierte mithilfe verschiedener Techniken drei Wege, um mittels CSS digitale Fingerabdrücke von Nutzenden zu erstellen. „Wir haben zunächst 1176 Kombinationen aus Browser und Betriebssystemen mit verschiedenen Einstellungen untersucht und konnten in 97,95 Prozent Rückschlüsse auf das System der Nutzenden ziehen. Verräterisch sind zum Beispiel installierte Schriftarten. Sie können Hinweise auf den genutzten Browser, das Betriebssystem und installierte Programme geben“, erläutert Trampert. Um herauszufinden, welche Schriftarten genutzt werden, griffen die Forschenden auf Tricks zurück: „Wir sehen das nicht im Klartext, können aber zum Beispiel durch das Ausnutzen bestimmter an sich sinnvoller CSS-Funktionen Höhen und Breiten von Wörtern messen und daraus nicht nur auf die Schriftart, sondern zum Beispiel auch auf die Systemsprache schließen“, so Trampert.
Digitaler Fingerabdruck durch CSS: Eine Bedrohung auch für E-Mails
Besonders spannend war für Trampert das Testen von E-Mail-Anwendungen. Während JavaScript von vielen Mailclients standardmäßig blockiert wird, ist der Einsatz von CSS bisher nicht eingeschränkt. „Wir haben 21 Mailclients untersucht, darunter sowohl Android- und iOS- als auch Desktop und Web-Clients. In neun Fällen konnten wir alle unsere Techniken erfolgreich einsetzen und so Informationen über die Nutzenden sammeln. 18 der 21 Mailclients davon waren für mindestens eine bestimmte Technik anfällig“, berichtet Trampert. Dadurch können sich ganz neue Bedrohungsszenarien ergeben. „Angriffe könnten zum Beispiel darauf abzielen, die Web-Sitzungen von Besucherinnen und Besuchern mit deren E-Mail-Konto zu verknüpfen oder alle E-Mail-Adressen bestimmter Nutzenden zu identifizieren“, warnt Trampert.
Robuste Verteidigung durch Aufklärung über Tracking-Methoden
Im Web werden Nutzerinnen und Nutzer aufgrund von Tracking-Cookies und JavaScript bereits ungewollt vermessen. „Trotzdem ist es wichtig, aufzuzeigen, welche technischen Möglichkeiten es gibt und wo sich neue Missbrauchsmöglichkeiten eröffnen – wie hier gesehen plötzlich auch in Mailprogrammen. Nur so können wir auch robuste Verteidigungsmaßnahmen entwickeln“, betont Trampert. Der PhD-Student forscht am CISPA, betreut von CISPA-Faculty Dr. Michael Schwarz und Prof. Dr. Christian Rossow. Um die Privatsphäre der Nutzenden zu schützen, ist eine kontinuierliche Erforschung neuer Tracking-Methoden unerlässlich. Nur so können geeignete Gegenmaßnahmen entwickelt und implementiert werden.
Ein Beitrag von:
