Digital Tracking-ID aus Favicons: Datensammler erfinden immer neue Supercookies

20:47  12 februar  2021
20:47  12 februar  2021 Quelle:   msn.com

Firefox blockiert Supercookies

  Firefox blockiert Supercookies Mozilla Firefox 85 entfernt das Adobe Flash Player-Plugin und verbessert den Schutz der Privatsphäre durch umfassende Verteidigungsmaßnahmen gegen Supercookies. Der jetzt verfügbare Browser Mozilla Firefox 85 verabschiedet sich endgültig vom Flash-Plugin  und schließt sich nun Chrome und Edge an, die beide Anfang des Monats mit der Veröffentlichung von Chrome 88 und Edge 88 die Unterstützung für Flash entfernt haben. Aber auch wenn Firefox 85 die erste Version ist, die ohne das viel gescholtene Flash-Plugin ausgeliefert wird, ist das größere Feature in dieser Version die Netzwerkpartitionierung.

Forscher der Universität von Illinois haben ein neues Supercookie auf der Basis von Favicons entwickelt. Das zeigt sich auch von modernen Blockern und Anonymisierungsmethoden total unbeeindruckt.

Cookies sind super, Supercookies nicht so. © Jarreterra / Shutterstock Cookies sind super, Supercookies nicht so.

Auf der Basis des Konzepts der Forscher aus dem US-amerikanischen Chicago hat der deutsche Softwareentwickler Jonas Strehle eine funktionsfähige Demo gebaut und sie unter dem Namen Supercookie auf GitHub veröffentlicht. Die Demo zeigt, wie leicht sich die eigentlich unverdächtigen Favicons, die in der Adressleiste der Besucherbrowser grafisch die aufgerufene Seite repräsentieren und somit keine echte Funktion haben, zur Identifizierung von Nutzern missbrauchen lassen.

Supercookies ade: Firefox 85 macht seitenübergreifendes Tracking unmöglich

  Supercookies ade: Firefox 85 macht seitenübergreifendes Tracking unmöglich Mozilla verschärft seine Methoden gegen das Tracking von Internetnutzern. Die seitenübergreifende Verfolgung per Supercookie macht die Version 85 des Firefox-Browsers jetzt unmöglich. © Mozilla Firefox. Die Idee ist eigentlich so einfach, dass sich findige Leserinnen und Leser fragen mögen, wieso da bisher keiner drauf gekommen ist. Wenn der gemeinsam genutzte Browser-Cache seitenübergreifendes Tracking so einfach macht, wie er das über die letzten 20 Jahre getan hat, wieso baue ich nicht einen Cache pro besuchter Seite? Das ist der Kern des Updates auf Firefox 85.

Favicon-Cache überdauert Löschbefehl

Der Ansatz dazu, die Favicons zum Tracking zu missbrauchen, basiert auf einer Besonderheit des Browser-Cache. Der ist nämlich nicht homogen, sondern fragmentiert sich in viele Sonder-Caches, darunter auch einen für die Favicons. Und dieser Cache ist selbst dann, wenn der Nutzer den Browser-Cache manuell und damit ausdrücklich löscht, nicht von dem Löschbefehl betroffen. Einmal gespeicherte Favicons bleiben also auf dem Nutzersystem.

Das Supercookie-Konzept der Forscher setzt nun darauf, dem Nutzer beim ersten Besuch ein diverses Set unterschiedlichster Favicons über verschiedene Subdomains unterzujubeln. Die bleiben dann auf dem Rechner und werden beim nächsten Seitenbesuch nicht erneut abgerufen.

Firefox erhöht Datenschutz: Jedes Cookie wird jetzt getrennt aufbewahrt

  Firefox erhöht Datenschutz: Jedes Cookie wird jetzt getrennt aufbewahrt Der Open-Source-Browser Firefox speichert Cookies jetzt für jede Website separat ab. So soll Tracking noch weiter erschwert werden. © Mozilla Firefox erhöht Datenschutz: Jedes Cookie wird jetzt getrennt aufbewahrt Firefox-Macher Mozilla hat der Verfolgung durch Werbetracker schon vor einigen Jahren den Kampf angesagt. Seit 2019 blockiert der Browser beispielsweise standardmäßig alle als Tracker identifizierten Cookies. Jetzt geht das Firefox-Team aber noch einen Schritt weiter: In der neuen Browser-Version 86 wird jedes Cookie separiert abgespeichert.

Diesen Umstand missbraucht das Supercookie-Konzept. Dabei wird so vorgegangen, dass beim Besuch einer entsprechend sammelwütigen Seite nicht etwa nur auf den Favicon-Cache vertraut wird, um unnötige Seitenabrufe zu vermeiden. Vielmehr ermittelt der Server, welche Favicons vom Besucherbrowser nicht abgerufen werden, also bereits vorhanden sind.


Video: Lern-Apps im Test: Helfen sie beim Homeschooling? (SAT.1)

Eindeutige ID per Favicon möglich

So konnten die Forscher nachweisen, dass ein Desktop-Browser in im Schnitt einer Sekunde Ladezeit mit einer zwölf Bit langen ID beschrieben werden konnte, das Auslesen benötigte die doppelte Zeit. Bei mobilen Browsern war die doppelte Zeit nötig. Eine eindeutige Identifikation kostete die Forscher nach eigenen Angaben rund vier Sekunden.

Kombiniert man das Favicon-Supercookie mit anderen Fingerprinting-Techniken, lassen sich die verhältnismäßig langen Schreib- und Lesezeiten reduzieren, weil die eindeutige Identifikation nicht allein über das Favicon-Tracking erledigt werden muss.

Google: Gefangen zwischen Werbung und Privatsphäre

  Google: Gefangen zwischen Werbung und Privatsphäre Apple will weniger Datensammeln in seinem Betriebssytem iOS ermöglichen – Google will offenbar nachziehen. Dabei muss es aufpassen, seine Werbekunden nicht zu vergraulen. © Josh Edelson/​AFP/​Getty Images Noch ist das Tracking in Googles Android-Betriebssystem erlaubt. Nach Apple erwägt nun offenbar auch Google, das Datensammeln und den Datenaustausch von Smartphone-Apps untereinander stärker einzuschränken. Das berichtet das Nachrichtenportal Bloomberg mit Verweis auf interne Quellen.

Browser bislang machtlos

Aus der Sicht eines Datensammlers ist das Favicon-Tracking eine solide Idee, in Zeiten strenger werdenden Tracking-Schutzes dennoch Nutzer sauber identifizierbar zu machen. Denn die gängigen Schutzmaßnahmen in aktuellen Browsern wie Firefox oder Safari und sogar Brave schützen vor der Methode nicht. Selbst der brandneue Firefox, der sich ausdrücklich der Bekämpfung von Supercookies verschrieben hat, dürfte mit der Methode aus Illinois zu überlisten sein.

Denn der neue Firefox erstellt zwar für jede Website ein eindeutiges Set an Caches, die nicht von anderen Websites genutzt werden können. Dabei nimmt der Browser die Top-Level-Site als Partitionsebene an. Das Konzept aus Illinois arbeitet mit Subdomains und dürfte auf diese Weise keine Probleme mit dem partitionierten Firefox-Cache haben. Andere Techniken, wie das Einschalten des Inkognito-Modus oder die Nutzung von VPN-Diensten zur Anonymisierung, schützen vor der neuen Methode überhaupt nicht.

Fingerprinting nicht vollends vermeidbar

Wie es aussieht, können Nutzerinnen und Nutzer derzeit wenig gegen diese Art des Supercookie tun. Umso erfreulicher scheint daher, dass es bislang keine Beweise dafür gibt, dass die Technik tatsächlich bereits aktiv verwendet wird. Das lässt Browserherstellern ein Zeitfenster, in dem sie auf die noch theoretische Bedrohung reagieren können.

Dabei dürfen wir uns nicht zu viel erhoffen. Das Ende des Cookies bedeutet nur, dass sich Entwickler immer stärker auf Fingerprinting-Methoden stürzen (müssen). Und dieses Fingerprinting lässt sich nicht völlig verhindern. Browser müssen sich gegenüber Websites identifizieren können. Entsprechend wird es auch weiterhin einen stetigen Wettlauf zwischen Datensammlern und Datenschützern geben.

Was ist mit Firefox? .
© ZDNet Gestern habe ich mir einige Gründe angesehen, warum wir Google Chrome als Standardbrowser löschen möchten, und einige der Vorteile, die sich aus dem Standardbrowser des Betriebssystems ergeben. Ganz oben auf dieser Liste stand die Energieeinsparung, die immer wichtiger wird, wenn wir von festen Systemen auf mobile Geräte umsteigen. Ich habe erwartungsgemäß viele Kommentare dazu erhalten.

usr: 3
Das ist interessant!