Was ist Device Fingerprinting?
Community Beitrag - Autor: Anonym
In der Informatik bezeichnet Fingerprinting den Prozess der Erstellung eindeutiger Identifikatoren - für alle Arten von digitalen Daten. Wenn jedoch bestimmte Techniken zur Identifizierung einzelner Benutzer oder Maschinen eingesetzt werden, bezeichnen wir sie als Browser oder Device Fingerprinting.
Im Wesentlichen besteht der Prozess darin, Informationen über ein Smartphone, einen Computer oder andere Geräte zu sammeln. Manchmal kann dies auch dann erreicht werden, wenn die IP-Adresse des Benutzers versteckt ist oder wenn er von einem Browser zum anderen wechselt.
Seit vielen Jahren sammeln Webanalysedienste Geräte- und Browserinformationen, um den legitimen Webverkehr zu messen und potenzielle Betrugsfälle zu erkennen. Heute ermöglichen fortgeschrittenere Ansätze die Erfassung spezifischer Parameter.
Bisherige Fingerprinting-Methoden konzentrierten sich hauptsächlich auf Computer. Aber moderne Techniken können heute Geräte fast aller Art identifizieren, und das Interesse an der wachsenden mobilen Umgebung nimmt zu.
Wie funktioniert es?
Die gesammelten Informationen werden oft in einer Datenbank gespeichert und nicht auf dem Gerät selbst. Während ein einzelner Datenpunkt etwas generisch ist, kann die Kombination mehrerer Datensätze eindeutig sein.
Das Device Fingerprinting kann sowohl passive als auch aktive Methoden beinhalten. Das Ziel beider Ansätze ist es, die Informationen eines Geräts zu sammeln. Selbst wenn also Tausende von Computern das gleiche Betriebssystem verwenden, wird jeder von ihnen wahrscheinlich eine einzigartige Kombination aus Software, Hardware, Browser, Plugins, Sprache, Zeitzone und allgemeinen Einstellungen aufweisen.
Passives Fingerprinting
Wie der Name schon sagt, sammeln passive Methoden Informationen auf eine weniger offensichtliche Weise, ohne den Benutzer (oder das entfernte System) zu fragen. Die Daten werden basierend auf dem, was von jedem Gerät gesendet wird, gesammelt, so dass passives Fingerprinting tendenziell weniger spezifische Informationen liefert (z.B. Betriebssystem).
Beispielsweise kann man eine passive Fingerprinting-Technik entwickeln, die Informationen über einen drahtlosen Treiber auf Netzwerkgeräten, wie beispielsweise einem Internetmodem, sammelt. Die passive Interaktion könnte in verschiedenen Arten von Treibern erforscht werden, ohne dass die Geräte etwas unternehmen müssen. Einfach ausgedrückt, verwenden verschiedene Geräte unterschiedliche Methoden zum Scannen möglicher Verbindungen (Access Points). Diese Unterschiede können also von einem Angreifer genutzt werden, um genau zu identifizieren, welcher Treiber von jedem Zielgerät verwendet wird.
Aktives Fingerprinting
Andererseits basiert das aktive Fingerprinting auf einer aktiven Netzwerkkommunikation, die ihn auf der Client-Seite besser erkennbar macht. Einige Websites verwenden JavaScript-Code, um Informationen über die Geräte und Browser des Benutzers zu sammeln. Dies kann Fenstergröße, Schriftarten, Plugins, Spracheinstellungen, Zeitzone und sogar Details über ihre Hardware beinhalten.
Ein bemerkenswertes Beispiel für eine aktive Technik ist Canvas Fingerprinting, der sowohl auf Computern als auch auf mobilen Geräten verwendet wird. Es basiert oft auf einem Skript, das mit der Canvas (Grafikelement) einer HTML5-Webseite interagiert. Das Skript weist die Canvas an, ein verstecktes Bild auf dem Bildschirm zu zeichnen, und zeichnet dann die im Bild dargestellten Informationen auf, wie Bildschirmauflösung, Schriftarten und Hintergrundfarben.
Wofür wird es benutzt?
Device Fingerprinting Methoden bieten Werbetreibenden eine Möglichkeit, das Verbraucherverhalten über mehrere Browser hinweg zu verfolgen. Sie ermöglichen es den Banken auch zu erkennen, ob eine Anfrage von einem vertrauenswürdigen Gerät oder von einem System kommt, das zuvor mit betrügerischen Aktivitäten in Verbindung gebracht wurde.
Darüber hinaus hilft das Device Fingerprinting Webseiten, mehrere Kontoeröffnungen zu verhindern, oder einer Suchmaschine, Geräte mit verdächtigem Verhalten zu kennzeichnen.
Device Fingerprints können nützlich sein, um Identitätsdiebstahl oder Kreditkartenbetrug zu erkennen und zu verhindern. Diese Techniken bedrohen jedoch die Privatsphäre der Nutzer und je nach Implementierung kann die Datenerfassung - insbesondere beim passiven Fingerprinting - nicht erkennbar sein.
Welche Einschränkungen gibt es?
Beim aktiven Fingerprinting stützt sich die Datenerfassung auf die Verfügbarkeit von Skriptsprachen wie JavaScript. Mobile Geräte und Benutzer, die Datenschutzsoftware oder Plugins ausführen, werden wahrscheinlich eine begrenzte Verfügbarkeit für Scripting aufweisen, was ihre Identifizierung erschwert. Dazu gehört auch die Verwendung von Browser-Erweiterungen, die Tracker und Anzeigen blockieren.
In einigen Situationen können jedoch datenschutzorientierte Benutzer leichter zu identifizieren sein. Zum Beispiel, wenn sie unbeliebte Software und Plugins zusammen mit bestimmten Einstellungen verwenden, die sie ironischerweise noch unverwechselbarer machen.
Auch die Effektivität des Fingerprinting kann durch große Unterschiede auf der Kundenseite eingeschränkt sein. Benutzer, die ihre Einstellungen ständig ändern oder mehrere virtuelle Betriebssysteme verwenden, können zu Ungenauigkeiten bei der Datenerfassung führen.
Die Verwendung verschiedener Browser kann ebenfalls zu Inkonsistenzen bei der Informationsbeschaffung führen, aber moderne, browserübergreifende Fingerprinting-Techniken können verwendet werden, um eine solche Einschränkung zu vermeiden.
Fazit
Es gibt mehrere Möglichkeiten, die Device-Fingerprinting-Technik zu implementieren und zu nutzen. Die Effektivität der Datenerfassung und der Identifizierung einer einzelnen Quelle kann daher von Methode zu Methode erheblich variieren.
Entweder allein oder in Kombination mit anderen Methoden kann Device Fingerprinting ein effektives Werkzeug sein, um Verhalten zu verfolgen und Benutzer zu identifizieren. Somit kann diese leistungsstarke Technik sowohl für legale als auch für illegale Aktivitäten eingesetzt werden, so dass es sicherlich ein guter Ausgangspunkt ist, über ihre grundlegenden Mechanismen informiert zu sein.