Device Fingerprinting: Wie ungesch√ľtzt sind Sie?
Startseite
Artikel
Device Fingerprinting: Wie ungesch√ľtzt sind Sie?

Device Fingerprinting: Wie ungesch√ľtzt sind Sie?

Anfänger
Veröffentlicht Aug 26, 2019Aktualisiert Nov 8, 2023
4m

Was ist Device Fingerprinting?

Community Beitrag - Autor: Anonym


In der Informatik bezeichnet Fingerprinting den Prozess der Erstellung eindeutiger Identifikatoren - f√ľr alle Arten von digitalen Daten. Wenn jedoch bestimmte Techniken zur Identifizierung einzelner Benutzer oder Maschinen eingesetzt werden, bezeichnen wir sie als Browser oder Device Fingerprinting.

Im Wesentlichen besteht der Prozess darin, Informationen √ľber ein Smartphone, einen Computer oder andere Ger√§te zu sammeln. Manchmal kann dies auch dann erreicht werden, wenn die IP-Adresse des Benutzers versteckt ist oder wenn er von einem Browser zum anderen wechselt.

Seit vielen Jahren sammeln Webanalysedienste Geräte- und Browserinformationen, um den legitimen Webverkehr zu messen und potenzielle Betrugsfälle zu erkennen. Heute ermöglichen fortgeschrittenere Ansätze die Erfassung spezifischer Parameter.

Bisherige Fingerprinting-Methoden konzentrierten sich hauptsächlich auf Computer. Aber moderne Techniken können heute Geräte fast aller Art identifizieren, und das Interesse an der wachsenden mobilen Umgebung nimmt zu.


Wie funktioniert es?

Insbesondere beinhaltet das Device Fingerprinting die Erfassung von Datens√§tzen, die dann kombiniert und √ľber eine Hashfunktion √ľbermittelt werden. Anschlie√üend kann die Ausgabe (Hash-Wert) als eindeutige ID f√ľr jedes Ger√§t (oder jeden Benutzer) dienen.

Die gesammelten Informationen werden oft in einer Datenbank gespeichert und nicht auf dem Gerät selbst. Während ein einzelner Datenpunkt etwas generisch ist, kann die Kombination mehrerer Datensätze eindeutig sein.

Das Device Fingerprinting kann sowohl passive als auch aktive Methoden beinhalten. Das Ziel beider Ansätze ist es, die Informationen eines Geräts zu sammeln. Selbst wenn also Tausende von Computern das gleiche Betriebssystem verwenden, wird jeder von ihnen wahrscheinlich eine einzigartige Kombination aus Software, Hardware, Browser, Plugins, Sprache, Zeitzone und allgemeinen Einstellungen aufweisen.


Passives Fingerprinting

Wie der Name schon sagt, sammeln passive Methoden Informationen auf eine weniger offensichtliche Weise, ohne den Benutzer (oder das entfernte System) zu fragen. Die Daten werden basierend auf dem, was von jedem Gerät gesendet wird, gesammelt, so dass passives Fingerprinting tendenziell weniger spezifische Informationen liefert (z.B. Betriebssystem).

Beispielsweise kann man eine passive Fingerprinting-Technik entwickeln, die Informationen √ľber einen drahtlosen Treiber auf Netzwerkger√§ten, wie beispielsweise einem Internetmodem, sammelt. Die passive Interaktion k√∂nnte in verschiedenen Arten von Treibern erforscht werden, ohne dass die Ger√§te etwas unternehmen m√ľssen. Einfach ausgedr√ľckt, verwenden verschiedene Ger√§te unterschiedliche Methoden zum Scannen m√∂glicher Verbindungen (Access Points). Diese Unterschiede k√∂nnen also von einem Angreifer genutzt werden, um genau zu identifizieren, welcher Treiber von jedem Zielger√§t verwendet wird.


Aktives Fingerprinting

Andererseits basiert das aktive Fingerprinting auf einer aktiven Netzwerkkommunikation, die ihn auf der Client-Seite besser erkennbar macht. Einige Websites verwenden JavaScript-Code, um Informationen √ľber die Ger√§te und Browser des Benutzers zu sammeln. Dies kann Fenstergr√∂√üe, Schriftarten, Plugins, Spracheinstellungen, Zeitzone und sogar Details √ľber ihre Hardware beinhalten.

Ein bemerkenswertes Beispiel f√ľr eine aktive Technik ist Canvas Fingerprinting, der sowohl auf Computern als auch auf mobilen Ger√§ten verwendet wird. Es basiert oft auf einem Skript, das mit der Canvas (Grafikelement) einer HTML5-Webseite interagiert. Das Skript weist die Canvas an, ein verstecktes Bild auf dem Bildschirm zu zeichnen, und zeichnet dann die im Bild dargestellten Informationen auf, wie Bildschirmaufl√∂sung, Schriftarten und Hintergrundfarben.


Wof√ľr wird es benutzt?

Device Fingerprinting Methoden bieten Werbetreibenden eine M√∂glichkeit, das Verbraucherverhalten √ľber mehrere Browser hinweg zu verfolgen. Sie erm√∂glichen es den Banken auch zu erkennen, ob eine Anfrage von einem vertrauensw√ľrdigen Ger√§t oder von einem System kommt, das zuvor mit betr√ľgerischen Aktivit√§ten in Verbindung gebracht wurde.

Dar√ľber hinaus hilft das Device Fingerprinting Webseiten, mehrere Kontoer√∂ffnungen zu verhindern, oder einer Suchmaschine, Ger√§te mit verd√§chtigem Verhalten zu kennzeichnen.

Device Fingerprints k√∂nnen n√ľtzlich sein, um Identit√§tsdiebstahl oder Kreditkartenbetrug zu erkennen und zu verhindern. Diese Techniken bedrohen jedoch die Privatsph√§re der Nutzer und je nach Implementierung kann die Datenerfassung - insbesondere beim passiven Fingerprinting - nicht erkennbar sein.


Welche Einschränkungen gibt es?

Beim aktiven Fingerprinting st√ľtzt sich die Datenerfassung auf die Verf√ľgbarkeit von Skriptsprachen wie JavaScript. Mobile Ger√§te und Benutzer, die Datenschutzsoftware oder Plugins ausf√ľhren, werden wahrscheinlich eine begrenzte Verf√ľgbarkeit f√ľr Scripting aufweisen, was ihre Identifizierung erschwert. Dazu geh√∂rt auch die Verwendung von Browser-Erweiterungen, die Tracker und Anzeigen blockieren.

In einigen Situationen können jedoch datenschutzorientierte Benutzer leichter zu identifizieren sein. Zum Beispiel, wenn sie unbeliebte Software und Plugins zusammen mit bestimmten Einstellungen verwenden, die sie ironischerweise noch unverwechselbarer machen.

Auch die Effektivit√§t des Fingerprinting kann durch gro√üe Unterschiede auf der Kundenseite eingeschr√§nkt sein. Benutzer, die ihre Einstellungen st√§ndig √§ndern oder mehrere virtuelle Betriebssysteme verwenden, k√∂nnen zu Ungenauigkeiten bei der Datenerfassung f√ľhren.¬†

Die Verwendung verschiedener Browser kann ebenfalls zu Inkonsistenzen bei der Informationsbeschaffung f√ľhren, aber moderne, browser√ľbergreifende Fingerprinting-Techniken k√∂nnen verwendet werden, um eine solche Einschr√§nkung zu vermeiden.


Fazit

Es gibt mehrere Möglichkeiten, die Device-Fingerprinting-Technik zu implementieren und zu nutzen. Die Effektivität der Datenerfassung und der Identifizierung einer einzelnen Quelle kann daher von Methode zu Methode erheblich variieren.

Entweder allein oder in Kombination mit anderen Methoden kann Device Fingerprinting ein effektives Werkzeug sein, um Verhalten zu verfolgen und Benutzer zu identifizieren. Somit kann diese leistungsstarke Technik sowohl f√ľr legale als auch f√ľr illegale Aktivit√§ten eingesetzt werden, so dass es sicherlich ein guter Ausgangspunkt ist, √ľber ihre grundlegenden Mechanismen informiert zu sein.