Fingerprinting: Favicons lassen sich zum Tracking missbrauchen

In einer Forschungsarbeit werden Favicons für Nutzer-Tracking in Browsern genutzt. Einen Schutz dagegen gibt es bisher nicht.

Artikel veröffentlicht am ,
Favicons eignen sich zum Browser-Tracking.
Favicons eignen sich zum Browser-Tracking. (Bild: Pixabay)

Browserhersteller sind in den vergangenen Jahren verstärkt gegen Tracking-Techniken vorgegangen, die mit Hilfe von Cookies geschehen. Ein Forschungsteam der University of Illinois at Chicago (UIC) zeigt nun aber in einer Untersuchung (PDF), dass Browser eine viel größere Angriffsfläche bieten, um deren Techniken zum Tracking zu missbrauchen, auch wenn solch ein Tracking eigentlich nicht vorgesehen ist. Das Team zeigt dies anhand von Favicons, die sich zu sogenannten Supercookies umfunktionieren lassen könnten.

Stellenmarkt
  1. Softwareentwickler/in für SAP-ABAP/UI5 (m/w/d)
    Compiricus AG, Düsseldorf
  2. Senior Cyber Security Engineer (m/w/d)
    DLR Gesellschaft für Raumfahrtanwendungen (GfR) mbH, Weßling
Detailsuche

Die Beteiligten verweisen mit dem Begriff auf einen früheren Angriff, der die HSTS-Implementierung in Browsern ausnutzte. Mit Supercookies wurden ursprünglich Flash-Objekte bezeichnet, mit denen sich einzelnen Clients identifizieren lassen konnten. Inzwischen wird der Begriff für weitere Techniken zur Identifizierung und dem sogenannten Browser-Fingerprinting genutzt, die bestimmte Speichermechanismen der Browser ausnutzen. Im Fall der Favicons ist dies ein speziell vom Browser angelegter Cache für die kleinen Logos, die in den Browser-Tabs erscheinen.

Konkret besteht die Idee des Angriffs nun darin, viele verschiedene Subdomains für eine Webseite zu erstellen und darüber jeweils verschiedene Favicons zu verteilen. Diese werden dann in den Browser-Caches gespeichert. Wird die Seite erneut besucht, können Nutzer über die Subdomains umgeleitet werden. Dabei lässt sich überprüfen, ob die Favicons bereits im Cache liegen oder neu heruntergeladen werden. Über die im Cache gespeicherten Daten lässt sich laut den Forschern dann eine eindeutige ID berechnen, die zum Fingerprinting genutzt werden kann, um eben individuelle Nutzer wiederzuerkennen.

Kein Schutz gegen Fingerprinting

Bisherige Möglichkeiten der Browser schützen jedoch nicht gegen diese Art des Trackings. Gegen den beschriebenen Angriff helfe weder die Verwendung eines Inkognito-Modus noch das Löschen von Browserdaten oder Webseitendaten über die Einstellungen, heißt es in der Arbeit. Auch populäre Browsererweiterungen, die ein Nutzer-Tracking verhindern sollen, erkennen das Fingerprinting nicht und lassen die Caches bestehen.

Golem Akademie
  1. Advanced Python - Fortgeschrittene Programmierthemen
    27.-28. Januar 2022, online
  2. PostgreSQL Fundamentals
    6.-9. Dezember 2021, online
  3. OpenShift Installation & Administration
    31. Januar-2. Februar 2022, online
Weitere IT-Trainings

Interessanterweise funktioniert das beschriebene Szenario nicht in Firefox. Das liegt jedoch wiederum an einem Fehler im Mozilla-Browser, den das Team bestätigt hat. Würde der Favicon-Cache im Firefox korrekt funktionieren, ließe sich auch dort das Favicon-Tracking umsetzen.

Mögliche Gegenmaßnahmen bestehen darin, den Favicon-Cache nicht für verschiedene Browsersitzungen zu verwenden und die Nutzung etwa im privaten Modus schlicht zu unterbinden oder den Cache mit anderen Browserdaten zu löschen. Außerdem könnten die Favicons an First-Party-Cookies gebunden werden, so dass sich die beschriebene Nutzung zum Fingerprinting erübrigt. Werden die Cookies gelöscht, ist auch das Fingerprinting nicht mehr umsetzbar.

Das Forschungsteam hat die großen Browserhersteller Apple, Brave, Google, Microsoft und Mozilla über seine Arbeit informiert. Die Unternehmen wollen nun Gegenmaßnahmen umsetzen, damit das beschriebene Fingerprinting nicht von Webseiten genutzt werden kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


jonasstrehle 29. Jan 2021

Hier findet sich eine simple Demonstration passend zum Thema: https//github&#046...

Truster 20. Jan 2021

Ich meine schon vor ca 10 Jahren Berichte übers tracken durch Favicons gelesen zu haben...

FreiGeistler 19. Jan 2021

Eher ist es so, dass dich die Tracking-Unternehmen durch die Fenster in der privaten...

D! 19. Jan 2021

ist das nur bei mir so? Daher viel Spaß beim Tracken!

wurstdings 19. Jan 2021

Danke, das hatte ich wohl überlesen.



Aktuell auf der Startseite von Golem.de
Google
Neues Pixel 6 kostet 650 Euro

Das Pixel 6 Pro mit Telekamera und schnellerem Display kostet ab 900 Euro. Google verbaut erstmals einen eigenen Prozessor.

Google: Neues Pixel 6 kostet 650 Euro
Artikel
  1. M1 Pro/Max: Dieses Apple Silicon ist gigantisch
    M1 Pro/Max
    Dieses Apple Silicon ist gigantisch

    Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
    Eine Analyse von Marc Sauter

  2. Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
    Klimaforscher
    Das Konzept der Klimaneutralität ist eine gefährliche Falle

    Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
    Von James Dyke, Robert Watson und Wolfgang Knorr

  3. Kalter Krieg 2.0?: Die Aufregung um Chinas angebliche Hyperschallwaffe
    Kalter Krieg 2.0?
    Die Aufregung um Chinas angebliche Hyperschallwaffe

    Die Volksrepublik China soll eine Hyperschallwaffe getestet haben. China dementiert die Vorwürfe aber und sagt, es wäre ein Raumschiff gewesen.
    Eine Analyse von Patrick Klapetz

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /