Wer glaubt, sich dank VPN-Klient und anderer Maßnahmen unbeobachtet durch das Netz bewegen zu können, wird an dieser Stelle enttäuscht. Sicherheitsexpert:innen des Unternehmens FingerprintJS fanden heraus, dass es seit Jahren eine Schwachstelle gibt, die Personen selbst bei aktiver Verschleierung eindeutig identifizieren kann. Für anonymes Surfen stellt dieses Tracking eine starke Bedrohung dar. Sie betrifft glücklicherweise nur eine Art von Browser.
Im Onlinemarketing steht der Begriff „Tracking“ oder auch „Webtracking“ für das Anlegen eines Protokolls über das Nutzerverhalten. Darunter gibt es verschiedene Arten der Nachverfolgung. Während „User-Tracking“ dazu dient, Klickverhalten aufzuzeichnen und auszuwerten, hilft „Eye-Tracking“ herauszufinden, wohin die Nutzerschaft auf einer Webseite zuerst schaut.
Anonymes Surfen nicht möglich? Diese Browser können betroffen sein
Wie der Blogeintrag der Sicherheitsforscher:innen darlegt, gibt es zunächst eine gute Nachricht, denn die Tracking-Methode beeinflusst leidglich die Desktop-Versionen von Browsern. Erschreckend ist dagegen, dass die neue Technik bei allen vier getesteten Browsern wirksam war, darunter auch dem Tor-Browser, der explizit für anonymes Surfen konzipiert wurde. Zusätzlich geprüft wurden Safari, Chrome und Firefox.
Die als „Scheme Flooding“ bezeichnete Schwachstelle erlaubt es Webseiten, Nutzer:innen verlässlich über mehrere Browser hinweg zu erkennen und mit ihren Identitäten zu verknüpfen, heißt es im Blogbeitrag. Dazu werden Informationen über auf dem Rechner installierte Apps genutzt, um einen permanenten, einzigartigen Identifikator zuzuweisen. Dieser lässt sich sowohl bei Browserwechsel, aktivem VPN-Klienten, Inkognitomodus und anderen Maßnahmen für anonymes Surfen verfolgen.
Browserübergreifendes, anonymes Surfen hinfällig
Fatal ist die Schwachstelle, weil sie sowohl eine Verletzung der Privatsphäre im Netz darstellt, als es auch Werbetreibenden erlaubt, personalisierte Anzeigen und Nutzerprofile komplett ohne Zustimmung zu erstellen. Zu den über die Apps extrahierten Daten gehören beispielsweise der Beruf, Gewohnheiten oder Alter. Je nach Absicht des Trackings könnten darüber auch Regierungs- oder Militärangehörige identifiziert werden.
Wie die Sicherheitsexpert:innen erklären, besteht die Lücke bereits seit über fünf Jahren, ihr wahrer Einfluss ist dagegen bisher unbekannt. Eine Suche im Netz förderte zumindest keine Webseite zutage, die anonymes Surfen aktiv durch die Tracking-Methode aushebelt. Wie die Methode technisch genau funktioniert, wurde im FingerprintJS-Blog ebenfalls beschrieben.
Weitere Tracking-Methoden im Umlauf
Neben der neu entdeckten Schwachstelle erfolgt der Vorstoß gegen anonymes Surfen zuweilen auch offizieller. So hat Google eine neuen Tracking-Methode entwickelt, die aktuell und ohne Zustimmung an Nutzer:innen getestet wird. Firefox-Entwickler:innen raten genau deshalb aktiv vom Chrome-Browser ab.