image

Webtracker kan gebruikers over meerdere browsers volgen

vrijdag 13 januari 2017, 10:55 door Redactie, 16 reacties

Onderzoekers hebben een zeer efficiënte webtracker ontwikkeld die in staat is om gebruikers over meerdere browsers op hetzelfde systeem met grote nauwkeurigheid te volgen. Hiervoor worden naar eigenschappen van het besturingssysteem en de hardware gekeken, zoals processor en videokaart.

De aanpak van de onderzoekers maakt het mogelijk om 99,24 procent van de gebruikers te identificeren, tegenover 90,84 procent voor een webtracker die op een enkele browser is gericht en van dezelfde dataset gebruikmaakt. Webtrackers, zoals cookies, user-agent en andere technieken, worden vooral gebruikt voor het volgen van internetgebruikers om zo gepersonaliseerde advertenties te laten zien.

De eerste generatie webtrackers gebruikte voornamelijk cookies, terwijl de tweede generatie zich vooral op geïnstalleerde plug-ins en user-agent richt. Onderzoekers van twee Amerikaanse universiteiten wilden een nieuwe "2.5" generatie webtracker ontwikkelen die gebruikers over meerdere browsers op hetzelfde systeem kan volgen. Het gebruik van verschillende browsers wordt regelmatig aangeraden en een groot aantal internetgebruikers heeft meerdere browsers op de computer geïnstalleerd en maakt hier ook gebruik van.

Voor hun aanpak maken de onderzoekers gebruik van eigenschappen van het besturingssysteem en hardware. Veel van deze eigenschpapen, zoals bijvoorbeeld de processor, videokaart of geinstalleerde scripts, zijn via JavaScript voor de browser benaderbaar. De webtracker laat de browser vervolgens bepaalde taken uitvoeren waarbij JavaScript de hardware of scripts van het systeem aanroept. Het resultaat maakt het mogelijk om gebruikers over meerdere browsers te volgen, omdat het systeem en de hardware nog steeds hetzelfde zijn.

Een bekende browser die allerlei maatregelen tegen webtrackers en fingerprinting heeft geïmplementeerd is Tor Browser. De webtracker van de onderzoekers bleek alleen in staat om schermbreedte en hoogteratio en audiocontextgegevens te kunnen verzamelen, zoals sample rate. Iets dat de Tor Browser-ontwikkelaars eenvoudig kunnen verhelpen, zo stellen de onderzoekers. Verder staat in Tor Browser standaard de Canvas-programmeerinterface uitgeschakeld, waarmee gebruikers ook zijn te volgen.

Als mogelijke oplossing voor dergelijke webtrackers bespreken de onderzoekers het gebruik van een virtual machine waarbij de browseruitvoer altijd hetzelfde is, ongeacht het onderliggende systeem. Het onderzoek "(Cross-)Browser Fingerprinting via OS and Hardware Level Features" (pdf) wordt eind februari tijdens het Network and Distributed System Security Symposium (NDSS) in San Diego besproken.

Image

Reacties (16)
13-01-2017, 11:04 door Anoniem
Nou,een enge ontwikkeling.
Hier moet ook een goede block technologie worden ontwikkeld zo dat ook dit niet meer te volgen zou moeten kunnen zijn als je dat niet wil.
Want dit maakt je identificeerbaar ook op individu mogelijker wijze of zou dat kunnen,ik denk dat met de webtracker je de dezelfe big data kan uitlezen wat je zelf niet wil dat op straat zou komen te kunnen liggen.
13-01-2017, 11:19 door Anoniem
Ik zie dit eigenlijk als computervredebreuk, ze verschaffen zich toegang tot informatie waarvan je aan kunt nemen dat de gebruiker van de browsers dat nooit zo bedoeld heeft.
13-01-2017, 11:48 door john west
Privacy schending.

Ik had liever dat ze een programma hadden gemaakt om dit te voorkomen.

Spionage programma's maken is onethische,zonder bescherming programma's hier voor.
13-01-2017, 12:05 door Anoniem
Dit is gewoon ziek. Er zit dus gewoon 24/7 een gluurder op je computer. Wat is in hemelsnaam de overtuiging dat ze vinden dat dit mag. Kan mij niet voorstellen dat dit mag. Google is ziek maar daar kan je nog opvoeren dat zij gratis diensten voor jou beschikbaar stellen. Wat voor voordeel kan ik van webtracker verwachten?
Ik zet mijn alu hoedje maar weer op en gebruik alleen nog maar Tor voor internet of beter Tail.

PS Houden addons dit soort trackers voldoende tegen?
Noscript
Adblock+
uMatric
uBlock
Ghostery
Betterprivacy
etc
13-01-2017, 12:14 door Anoniem
De oplossing, niets meer kopen van een merk dat op via internet adverteert.
13-01-2017, 13:01 door karma4
Door Anoniem: De oplossing, niets meer kopen van een merk dat op via internet adverteert.
Dat is de enige methode om zoiets als de tracking voor verkoopdoelen uit te bannen. Moet wel iedereen zich er aan houden. Spam is nog steeds lucratief omdat er altijd wat mensen er toch op reageren.

Overigens niets nieuws die hardware herkenning. De batterij-raadpleging is om die reden uit html5 gehaald.
Een veel leukere om over na te denken. Keys-stroke dynamics. http://www.biometric-solutions.com/keystroke-dynamics.html Je wordt herkend door de manier van de bediening. Maakt de hardware niet eens meer veel uit.
13-01-2017, 13:55 door Anoniem
Het lijkt het Wilde Westen wel met de sheriff op langdurige vakantie.

Men wauwelt nog steeds wat na over cookies als de DDA (digitale advertentie alliantie)
technisch al lichtjaren verder opereert via cross device tracking en keyboard fingerprinting.

De globale spelers hebben alle regelgevers al lang in de zak en doen alleen iets cosmetisch voor de vorm
(privacy bescherming voor kinderen (maar niet voor hun ouders) etc.)).

Het zou volgens de afgesproken restrictie zo moeten zijn, dat als men op een laptop een opt-out doet,
men dan verschoond moet blijven van persoonlijk gerichte advertenties op alle overige toestellen.
Daar zijn zo veel draaien aan te geven dat het nooit gaat werken.

Wat als je een app daartoe toestemming moet geven om deze te kunnen installeren,
dan ben je al dus nog account-breed de klos,je wilde het immers, klik klik klaar...

En als dit voor commerciële tracking al niet gaat werken en men weer niet tot enige zelfregulering komt,
heb ik helemaal geen vertrouwen in overheid tracking door drieletterige diensten
en hun "hand in voet" relatie met de grote globale commerciële jongens.

Wie maakt zich nog sterk voor de eind-gebruiker en als men er over klaagt is men gelijk
'alu-hoedje', anti-globalist, en noem nog maar enkele classificerende vooroordelen tegen iemand,
die nog zelf nadenkt op.

Ik denk dat deze groep gebruikers al met de rug tegen de muur staat.

En maar wauwelen over de cookie-wet, terwijl de beacons, widgets
en geobfusceerde cloud-getransporteerde javascript ID tracking je je om de oren vliegt.

Waar gaat dit heen? Wie komt met een track-me-niet register en overeenkomstige hard-coded blocklist?

Neen, ik heb mijn gordijnen met een reden dichtgetrokken, neen ik heb mijn camera met een reden afgeplakt.

Begrijp dat dan eindelijk toch invasieve bende!

Maar redeneren die partijen, die gordijnen zijn al helemaal niet meer van jou, net als die browser,
die mag je alleen maar t.b.v. ons voordeel even vasthouden.

Wij weten wel wat goed voor je is. Slikken, die advertentie levertraan.
13-01-2017, 14:11 door Anoniem
Hardware profilering is (op zich) niet nieuw

De webtracker laat de browser vervolgens bepaalde taken uitvoeren waarbij JavaScript de hardware of scripts van het systeem aanroept.

Wat kan je alvast doen om het standaard zeer sterk te verminderen?

• Standaard WebGL in je browser uitschakelen!

Huhwatisdat?
https://en.wikipedia.org/wiki/WebGL

• Javascripts beheren : lees blokkeren waar kan

Met een addon extensie als NoScript of uMatrix voor de Chromepootachtigen beheer je je javascripts.
Zonder javascripts doen/kunnen deze analyserende trackers niets.

https://noscript.net/
https://github.com/gorhill/uMatrix
https://chrome.google.com/webstore/detail/umatrix/ogfcmafjalglgifnmanfmnieipoejdcf?hl=en
https://github.com/gorhill


In Torbrowser kun je je javascript beheer ook nog buiten de manual opties van NoScript beheren, namelijk via de security/privacy slider onder de groene Torbutton.
Op de hoogste stand ben je alweer een stuk beter bestand tegen ongewenste javascipts.

Het meten van scaling van de pagina is wellicht lastig te voorkomen bij het al standaard windowformaat dat Torbrowser gebruikt. De geschaalde pagina is dan een indicatie in de richting van het soort apparaat waarmee gebrowsed wordt maar in over het algemeen niet tot een individueel apparaat te herleiden.

De grote uitdaging voor de privacy community is om de suspecte aanbieders eruit te filteren. De uitdaging voor hen zal zijn onder de radar te blijven.

In ieder geval, zolang jij je browsers niet standaard van alles laat doen en vertellen zijn dit soort analyse technieken vrij kansloos.
De praktijk is wel wat weerbarstiger en omgekeerd, doordat gebruikers onvoldoende geïnteresseerd zijn of voldoende basiskennis en basis maatregelen hebben genomen is de privacy juist kansloos.

De vraag is of het begrip 'kans' überhaupt wel in verband mag worden met gedrag dat wegens gemakzucht en moedwillige desinteresse en domheid omdat er immers helemaal geen sprake is van een kans.

Zo bezien valt het dan weer mee, dan is de privacystrijd niet langer kansloos, als de potentie tot de wil tot verandering er is komt de rest er vroeg of laat wel bij.

Het begint met ergens voor open willen staan.
Dat wil zeggen, de wil tot verbeteren in plaats van je alleen bang laten maken.
Helaas is techniek voor velen iets dat tot verlamming en wegkijken leidt en maken velen anderen daar handig misbruik van.


P.s., een ander lastig dilemma is het profileren op genomen privacy maatregelen, hoe meer maatregelen je neemt hoe unieker je browser profiel weer wordt. Sommige addons zijn nog te obscuur en vallen daardoor op.
Test het hier: https://panopticlick.eff.org/
Met javascript aan en uit en bepaalde addons wel/niet geactiveerd, waarschuwing; dat onderzoekje kost wel even wat tijd en moeite! ;)

De kunst is dus, om de meest gangbare maatregelen te benutten.
(jammer voor nieuwkomers en zij die meer publiek verdienen op de extensiemarkt)

En tekstjes kan je natuurlijk ook offline in een textediTorretje typen en daarna in je browser veld pasten.
Groot voordeel van die aanpak (voor de lezer) is dat je er ook een spellingscontrole overheen kan gooien (dat scheelt al wat), sommige standaard mobiele users haal je op basis van dat gemis er zo wel uit.

Maar ja, wat doe je tegen vocabulaire en stijlopmaak tracking?
Das een lastige, gelukkig zin er altijd wel weer anderen te vinden die stijl
graag kopiëren
lang leve de trendvolgers!

Niet te verwarren met trollvolgers! ;p
13-01-2017, 16:47 door choi - Bijgewerkt: 14-01-2017, 00:56
Door Anoniem: Dit is gewoon ziek. Er zit dus gewoon 24/7 een gluurder op je computer. Wat is in hemelsnaam de overtuiging dat ze vinden dat dit mag. Kan mij niet voorstellen dat dit mag. Google is ziek maar daar kan je nog opvoeren dat zij gratis diensten voor jou beschikbaar stellen. Wat voor voordeel kan ik van webtracker verwachten?
Ik zet mijn alu hoedje maar weer op en gebruik alleen nog maar Tor voor internet of beter Tail.

PS Houden addons dit soort trackers voldoende tegen?
Noscript
Adblock+
uMatric
uBlock
Ghostery
Betterprivacy
etc

De besproken trackingmethodes worden op dit moment niet in-the-wild gebruikt (uiteraard wordt fingerprinting in het algemeen wel toegepast); het betreft nl. een proof-of-concept die moet aantonen wat mogelijk is. Hopelijk zullen belanghebbende partijen met dit onderzoek aan de slag gaan om de volgende generatie anti-trackingmethodes te ontwikkelen die gebruikers tegen dit soort gesofistikeerde truukjes kunnen beschermen.

En nee, de door jouw genoemde software beschermen niet (volledig) tegen deze methode (in feite een combinatie van technieken die op hard-en OS nivo werken). De onderzoekers zeggen hierover: All the aforementioned works focus on cookies or super-cookie based web tracking, and can either fully or partially prevent such tracking. None of them can prevent the proposed fingerprinting in this paper, because the proposed belongs to the second generation, which does not require a server-side, stateful identifier....

Our approach adopts OS and hardware levels features including graphic cards exposed by WebGL, audio stack by Audio-Context, and CPU by hardwareConcurrency. Our evaluation shows that our approach can uniquely identify more users than AmIUnique for single-browser fingerprinting, and than Boda et al. for cross-browser fingerprinting. Our approach is highly reliable, i.e., the removal of any single feature only decreases the accuracy by at most 0.3%
13-01-2017, 22:10 door PJW9779
Als ik de whitepaper even snel scan lees ik alleen maar dat het Javascript nodig heeft.
Voor de rest was al bekend dat (dus) uitschakelen van Javascript en ook het gebruik van Tor-button volstaan als remedie.
Zat addons/plugins beschikbaar.
13-01-2017, 22:50 door Anoniem
Met de nieuwe Europese ePrivacy richtlijn die op 25 mei 2018 ingaat wordt dit soort device fingerprinting verboden op straffe van hoge boetes. https://www.privacybarometer.nl/maatregel/142/ePrivacy_verordening
13-01-2017, 23:48 door choi - Bijgewerkt: 14-01-2017, 00:57
Door PJW9779: Als ik de whitepaper even snel scan lees ik alleen maar dat het Javascript nodig heeft.
Voor de rest was al bekend dat (dus) uitschakelen van Javascript en ook het gebruik van Tor-button volstaan als remedie.
Zat addons/plugins beschikbaar.

Fingerprinting maakt inderdaad gebruik van JS om aan de benodigde data te komen (via de OS-en hardwareonderdelen die middels browser-API's aan JS zijn blootgesteld). Het is mij niet helemaal duidelijk of het simpel uitschakelen van JS een (volledige) oplossing is. Volgens de onderzoekers biedt het gebruik van de TOR browser wel wel voldoende bescherming. Ik stel me voor dat de beveiliging dan wel op het hoogste nivo moet staan (waardoor o.a JS wordt uitgeschakeld). De vraag is natuurlijk in hoeverre dit nog een praktische oplossing is voor het dagelijks internetgebruik. De onderzoekers stellen dan ook dat virtualisatie de meest effectieve bescherming biedt omdat dan wel gebruik kan worden gemaakt van de volledige browserfunctionaliteit.

P.S
m.b.t tot de TOR Button zegt de TOR website het volgende:
[T]he toggle model of Torbutton is no longer supported. Users should be using Tor Browser, not installing Torbutton themselves.
14-01-2017, 00:16 door Anoniem
Ik zie de oplossing ook via het doorontwikkelen van virtuele tor-browser sandboxing.

Zonder deze weg op te gaan, houden we het uiteindelijk niet tegen de pogingen
om de integriteit van de infrastructuur fundamenteel te ondermijnen.

Men kan nog veel leren van malzilla in dat opzicht.
Opeens hoor ik niet veel meer van het virtuele zandbak front...

luntrus
14-01-2017, 00:22 door choi - Bijgewerkt: 14-01-2017, 00:51
Aanvulling op 23:48
Over het uitschakelen van javaScript om zo de gebruiker zou beschermen tegen fingerprintingtechnieken staat er op browserprint.info het volgende:
A quick query of our database found that out of 2104 submitted fingerprints where JavaScript was disabled 1372 were unique, that means 65.2% of fingerprints with JavaScript disabled were still unique, and that's without the scriptless tests that we're planning but haven't implemented yet such as scriptless ad-blocking checking and a scriptless version of the char sizes test. This just goes to show that disabling JavaScript is not a silver bullet, it should probably be combined with using a browser such as IceCat that has some fingerprinting defences. In summary we don't recommend this technique.

m.a.w, ook zonder JavaScript lijkt het mogelijk voldoende data te verzamelen om de gebruiker te identificeren middels fingerprinting.
https://browserprint.info/blog/fingerprintingDefence
14-01-2017, 16:45 door ph-cofi
...hoeveel fingerprinting zou door een firewall heen nog herkenbaar zijn? Vermoedelijk "alles", zolang de user agents systeemdetails prijsgeven. de URL die choi doorgeeft, beschrijft spoofing mogelijkheden voor browser gebruikers. Alleen lijkt het wel dat dit nogal in de kinderschoenen staat.
15-01-2017, 00:50 door Anoniem
Hoe zou het zijn om op dit sandbox idee met "domain confinement" in de browser te gebruiken?

Uitgewerkt voorbeeld hier: http://cowl.ws/

Je moet dan nog wel op de veiligheid van de verbindingen letten, maar het maakt global tracking een stuk moeilijker.

Het domein wat ik bezoek op de URL balk moet geheel binnen een sandbox draaien. Alles op die bezochte pagina moet zich afspelen binnen deze afgegrendelde data ruimte. Dat moet alles zijn van cookies, tags, beacons en lokale opslag tot de cache en de geschiedenis. The data die toegankelijk zijn via deze sandbox worden compleet begrensd tot de data tijdens het verblijf op dat domein.

Iemand?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.