Of je nu op zoek bent naar de spiralen en lijnen van een vingertopje of analoog daaraan unieke browserinformatie: het gebruik van vingerafdrukken is een zeer nauwkeurige manier om iemand te identificeren. Het is een stuk lastiger om iemands vingerafdruk te verkrijgen zonder dat ze hier weet van hebben, maar er zijn allerlei diensten op het internet die gebruikers identificeren via hun “browser-vingerafdruk” — zonder daarbij rekening te houden met uw belang.
Een team van de Universität der Bundeswehr München heeft een browser-extensie ontwikkeld waarmee u kunt bijhouden welke websites uw browser-vingerafdrukken verzamelen en hoe ze dat doen. Het team analyseerde ook 10.000 populaire websites om te zien wat voor soort informatie ze verzamelen. De presentatie van teamlid Julian Fietkau op het Remote Chaos Communication Congress (RC3) besprak dit probleem en hoe zijn team daarmee aan de slag was gegaan.
Wat is een browser-vingerafdruk?
Een browser-vingerafdruk is een verzameling van gegevens die een website op verzoek kan verkrijgen over uw computer en browser bij het laden van een pagina. De vingerafdruk omvat tal van gegevens, van de taal die u gebruikt en de tijdzone waar u zich in bevindt tot de extensies die er op uw browserversie geïnstalleerd staan. Het kan ook informatie omvatten over uw besturingssysteem, RAM, schermresolutie, lettertype-instellingen en nog veel meer.
Websites verzamelen variërende hoeveelheden en soorten informatie en gebruiken die om een unieke identificator voor u te creëren. Een browser-vingerafdruk is geen cookie, al kan deze op vergelijkbare wijze gebruikt worden. En terwijl u moet instemmen met het gebruik van cookies (u bent het wegklikken van de “onze site maakt gebruik van cookies”-meldingen waarschijnlijk allang beu), is er voor het maken van browser-vingerafdrukken geen zelfde toestemming vereist.
Bovendien helpt zelfs het gebruik van de Incognito-modus niet bij het voorkomen dat uw vingerafdruk wordt afgenomen; bijna alle browsers- en apparaat-parameters blijven hetzelfde en kunnen gebruikt worden om te bepalen dat u de browsende persoon bent.
Hoe browser-vingerafdrukken gebruikt en misbruikt worden
Het belangrijkste doel van een browser-vingerafdruk is het bevestigen van de identiteit van een gebruiker zonder enige moeite van hun kant. Als een bank bijvoorbeeld dankzij een browser-vingerafdruk kan bevestigen dat u het zelf bent die een transactie uitvoert, hoeven ze geen beveiligingscode meer naar uw telefoon te sturen en kunnen ze iets meer moeite doen als iemand — zelfs als u dat zelf bent — op uw account inlogt met een andere browser-vingerafdruk. In dit voorbeeld verbeteren de browser-vingerafdrukken uw ervaring.
Het tweede doel is om gerichte advertenties weer te geven. U informeert zich op een website over de aanschaf van een strijkijzer en gaat vervolgens naar een andere website die hetzelfde advertentienetwerk gebruikt en u advertenties voor strijkijzers laat zien. Dit is in feite tracking zonder uw toestemming, en de haat en argwaan van gebruikers ten opzichte van dit soort praktijken is begrijpelijk.
Dat gezegd hebbende: veel websites met ingebouwde componenten van verschillende advertentienetwerken en analytics-diensten verzamelen en analyseren uw vingerafdrukken.
Hoe weet u of een website uw browser-vingerafdruk afneemt
Om informatie te verkrijgen om een browser-vingerafdruk samen te stellen, verzendt een website verschillende verzoeken via ingebouwde JavaScript-code naar de browser. De optelsom van de responsen van de browser maakt zo’n vingerafdruk.
Fietkau en zijn collega’s analyseerden de populairste libraries met dit soort JavaScript-code en stelden een lijst van 115 verschillende technieken samen die het meest gebruikt worden om met browser-vingerafdrukken te werken. Vervolgens creëerden ze een browser-extensie met de naam FPMON die webpagina’s analyseert om te zien of ze die technieken gebruiken en die de gebruiker vervolgens precies vertelt welke gegevens een bepaalde website probeert te verzamelen om een browser-vingerafdruk samen te stellen.
Gebruikers die FPMON hebben geïnstalleerd ontvangen een notificatie als een website verzoeken tot bepaalde informatie van een browser verzendt. Het team heeft de types informatie in twee categorieën ingedeeld: gevoelig en agressief.
De eerste categorie omvat informatie die een website kan opvragen om legitieme redenen. Het kennen van de taal van een browser kan bijvoorbeeld helpen om de site in uw voorkeurstaal weer te geven, en informatie over uw tijdzone is vereist om de correcte tijd weer te geven. Dit soort informatie kan echter alsnog iets over u zeggen.
Agressieve informatie is irrelevant voor de website en wordt hoogstwaarschijnlijk gebruikt om puur en alleen uw browser-vingerafdruk samen te stellen. Dit kan informatie omvatten over uw apparaatgeheugen of een lijst met plugins die u op uw browser hebt geïnstalleerd.
Hoe agressief zijn sites met het verzamelen van browser-vingerafdrukken?
FPMON kan verzoeken voor 40 soorten informatie detecteren. Bijna alle websites vragen op zijn minst om wat informatie over de browser of het apparaat. Wanneer kunnen we ervan uitgaan dat een website inderdaad probeert om een vingerafdruk samen te stellen? Wanneer moeten we ons zorgen maken?
De onderzoekers gebruikten bestaande websites zoals EFF’s Panopticlick (oftewel Cover Your Tracks)-project, die de belangengroep voor privacy creëerde om aan te tonen hoe het maken van browser-vingerafdrukken werkt. Panopticlick vereist 23 parameters om te werken en kan een gebruiker met meer dan 90% aan zekerheid identificeren. Fitkau en zijn team maakten 23 parameters tot hun minimumwaarde; vanaf deze waarde kunnen we ervan uitgaan dat een website gebruikers trackt.
De onderzoekers bekeken de top 10.000 websites (volgens de ranglijst van Alexa) en ontdekten dat de meeste hiervan (bijna 57%) om 7 tot 15 parameters vragen, met een mediaan van 11 parameters voor de volledige steekproef. Ongeveer 5% van de websites verzamelde geen enkele parameter, en het maximale aantal verzamelde parameters was 38, op een totaal van 40. Slechts drie van de 10.000 websites vroegen echter om zo veel parameters.
De websites in hun steekproef gebruikten meer dan honderd scripts om de gegevens te verzamelen, en hoewel erg weinig scripts veel informatie uit de agressieve categorie verzamelden, worden ze wel gebruikt op een aantal zeer populaire websites.
Hoe beschermt u zichzelf hiertegen?
Twee aanpakken kunnen voorkomen dat website-scripts uw browser-vingerafdruk afnemen: ze blokkeren en ze onvolledige of onjuiste informatie geven. Privacy-software gebruikt een van deze twee methodes. Aan de browserkant begon Safari onlangs met het verstrekken van alleen fundamentele, onpersoonlijke informatie, en zo worden gebruikers dus beschermd tegen tracking via vingerafdrukken.
Sommige organisaties hebben ook actie ondernomen met behulp van browser-extensies. Privacy Bader, een privacy-plugin die is ontwikkeld door het EFF, probeert bijvoorbeeld om scripts te blokkeren, maar niet alle scripts. De plugin is bijvoorbeeld niet van invloed op scripts die gegevens opvragen die nodig kunnen zijn om een pagina goed weer te geven of om bepaalde functies te laten werken (maar die ook kunnen bijdragen aan het vormen van een vingerafdruk).
Wij gebruiken dezelfde aanpak in onze Kaspersky Protection-browser-extensie en voorkomen dat website te veel gebruikersinformatie verzamelen en dus een vingerafdruk kunnen samenstellen. Kaspersky Protection maakt deel uit van onze belangrijkste beveiligingsoplossingen voor consumenten. Vergeet alleen niet om het in te schakelen.