News

Artikel merken

Tracking-ID aus Favicons: Datensammler erfinden immer neue Supercookies

Forscher der Universität von Illinois haben ein neues Supercookie auf der Basis von Favicons entwickelt. Das zeigt sich auch von modernen Blockern und Anonymisierungsmethoden total unbeeindruckt.

2 Min. Lesezeit
Cookies sind super, Supercookies nicht so. (Foto: Jarreterra / Shutterstock)

Auf der Basis des Konzepts der Forscher aus dem US-amerikanischen Chicago hat der deutsche Softwareentwickler Jonas Strehle eine funktionsfähige Demo gebaut und sie unter dem Namen Supercookie auf GitHub veröffentlicht. Die Demo zeigt, wie leicht sich die eigentlich unverdächtigen Favicons, die in der Adressleiste der Besucherbrowser grafisch die aufgerufene Seite repräsentieren und somit keine echte Funktion haben, zur Identifizierung von Nutzern missbrauchen lassen.

Favicon-Cache überdauert Löschbefehl

Der Ansatz dazu, die Favicons zum Tracking zu missbrauchen, basiert auf einer Besonderheit des Browser-Cache. Der ist nämlich nicht homogen, sondern fragmentiert sich in viele Sonder-Caches, darunter auch einen für die Favicons. Und dieser Cache ist selbst dann, wenn der Nutzer den Browser-Cache manuell und damit ausdrücklich löscht, nicht von dem Löschbefehl betroffen. Einmal gespeicherte Favicons bleiben also auf dem Nutzersystem.

Das Supercookie-Konzept der Forscher setzt nun darauf, dem Nutzer beim ersten Besuch ein diverses Set unterschiedlichster Favicons über verschiedene Subdomains unterzujubeln. Die bleiben dann auf dem Rechner und werden beim nächsten Seitenbesuch nicht erneut abgerufen.

Diesen Umstand missbraucht das Supercookie-Konzept. Dabei wird so vorgegangen, dass beim Besuch einer entsprechend sammelwütigen Seite nicht etwa nur auf den Favicon-Cache vertraut wird, um unnötige Seitenabrufe zu vermeiden. Vielmehr ermittelt der Server, welche Favicons vom Besucherbrowser nicht abgerufen werden, also bereits vorhanden sind.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Eindeutige ID per Favicon möglich

So konnten die Forscher nachweisen, dass ein Desktop-Browser in im Schnitt einer Sekunde Ladezeit mit einer zwölf Bit langen ID beschrieben werden konnte, das Auslesen benötigte die doppelte Zeit. Bei mobilen Browsern war die doppelte Zeit nötig. Eine eindeutige Identifikation kostete die Forscher nach eigenen Angaben rund vier Sekunden.

Kombiniert man das Favicon-Supercookie mit anderen Fingerprinting-Techniken, lassen sich die verhältnismäßig langen Schreib- und Lesezeiten reduzieren, weil die eindeutige Identifikation nicht allein über das Favicon-Tracking erledigt werden muss.

Browser bislang machtlos

Aus der Sicht eines Datensammlers ist das Favicon-Tracking eine solide Idee, in Zeiten strenger werdenden Tracking-Schutzes dennoch Nutzer sauber identifizierbar zu machen. Denn die gängigen Schutzmaßnahmen in aktuellen Browsern wie Firefox oder Safari und sogar Brave schützen vor der Methode nicht. Selbst der brandneue Firefox, der sich ausdrücklich der Bekämpfung von Supercookies verschrieben hat, dürfte mit der Methode aus Illinois zu überlisten sein.

Denn der neue Firefox erstellt zwar für jede Website ein eindeutiges Set an Caches, die nicht von anderen Websites genutzt werden können. Dabei nimmt der Browser die Top-Level-Site als Partitionsebene an. Das Konzept aus Illinois arbeitet mit Subdomains und dürfte auf diese Weise keine Probleme mit dem partitionierten Firefox-Cache haben. Andere Techniken, wie das Einschalten des Inkognito-Modus oder die Nutzung von VPN-Diensten zur Anonymisierung, schützen vor der neuen Methode überhaupt nicht.

Fingerprinting nicht vollends vermeidbar

Wie es aussieht, können Nutzerinnen und Nutzer derzeit wenig gegen diese Art des Supercookie tun. Umso erfreulicher scheint daher, dass es bislang keine Beweise dafür gibt, dass die Technik tatsächlich bereits aktiv verwendet wird. Das lässt Browserherstellern ein Zeitfenster, in dem sie auf die noch theoretische Bedrohung reagieren können.

Dabei dürfen wir uns nicht zu viel erhoffen. Das Ende des Cookies bedeutet nur, dass sich Entwickler immer stärker auf Fingerprinting-Methoden stürzen (müssen). Und dieses Fingerprinting lässt sich nicht völlig verhindern. Browser müssen sich gegenüber Websites identifizieren können. Entsprechend wird es auch weiterhin einen stetigen Wettlauf zwischen Datensammlern und Datenschützern geben.

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Ein Kommentar
Fibonacci
Fibonacci

Die Methode ist in jedem Fall äußerst umständlich, benutzerunfreundlich und mit erhöhtem Traffic verbunden. Auf meinem MacBook mit Big Sur werden Favicons und deren Cache übrigens gelöscht, wenn ich die History in Safari bereinige. GoTo: ~/Library/Safari/Favicon Cache

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung

Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder