Abo
  • Services:
Anzeige
Ein Mausrad kann zur Identifizierung von Tor-Nutzern beitragen.
Ein Mausrad kann zur Identifizierung von Tor-Nutzern beitragen. (Bild: Darkone/CC-BY-SA 2.5)

Security: Tor-Nutzer über Mausrad identifizieren

Ein Mausrad kann zur Identifizierung von Tor-Nutzern beitragen.
Ein Mausrad kann zur Identifizierung von Tor-Nutzern beitragen. (Bild: Darkone/CC-BY-SA 2.5)

Tor verspricht Privatsphäre. Doch auch Nutzer des Anonymisierungsdienstes haben einen eindeutigen Fingerprint. Ein neues Konzept nutzt dazu Mausrad, CPU und DOM-Elemente.

Der Softwareentwickler Jose Carlos Norte hat in einem Blogpost einige Gedanken für ein erweitertes Fingerprinting von Tor-Nutzern vorgestellt. Er nutzt dazu ungewöhnliche Metriken wie die CPU-Geschwindigkeit, das Mausrad und das Element getClientRects().

Anzeige

Der Tor-Browser deaktiviert viele bekannte Methoden zum Fingerprinting, wie zum Beispiel das Canvas-Fingerprinting. Außerdem wird davor gewarnt, den Browser maximiert auszuführen, weil so die maximale Auflösung des Bildschirmes erfasst werden kann.

In einem Proof-of-Concept hat Norte jetzt unter dem Namen UberCookie neue Vorgehensweisen in "kontrollierten Umgebungen" erfolgreich ausprobiert, wie er schreibt. Dazu musste er zunächst Beschränkungen des Tor-Browsers umgehen. Die Funktion javascript Date.getTime() (unix time) wird dort nur alle 100 ms auf den aktuellen Stand gebracht. Mit Hilfe eines Webworker-Elements und der Einstellung setInterval gelang es ihm, eine größere Genauigkeit im Bereich von einigen Millisekunden zu erreichen.

Das verräterische Mausrad

Als einen Indikator des Fingerprintings nutzt Norte in seinem PoC das Mausrad. Bei einem normalen PC mit Standardmaus sei das gescrollte Delta immer drei, schreibt er. Doch bei Trackpads gebe es größere Unterschiede und damit auch Differenzierungsmöglichkeiten. Auch die Geschwindigkeit des Mauszeigers selbst könnte zur Identifikation genutzt werden, weil auch hier das Tempo mit der verwendeten Hardware und Software korrelieren würde.

Durch die Veränderung des setInterval-Parameters sei es auch möglich, Rückschlüsse auf die verwendete CPU zuziehen. Dazu müsse auf der Webseite ein rechenintensives Skript laden, das dann eine Einordnung der Rechenleistung des verwendeten PCs ermöglicht. Mit der gleichen Version des Tor-Browsers auf unterschiedlichen Rechnern habe er sehr unterschiedliche Ergebnisse bekommen, schreibt Norte.

Verwundert zeigt er sich darüber, dass der Tor-Browser zwar eine direkte Abfrage von Canvas-Elementen verhindern würde, aber über die Javascript-API die Position bestimmter DOM-Elemente abrufbar ist. Dazu wird die Funktion getClientRects genutzt. Damit kann die exakte Position verschiedener Elemente auf einer Webseite ermittelt werden. Je nach verwendeter Auflösung, Schriftartenkonfiguration und anderen Faktoren ergeben sich daraus sehr unterschiedliche Ergebnisse, die eine Identifikation einzelner Nutzer ermöglichen.

Einige der Angriffsvektoren dürften sich durch ein Softwareupdate beheben lassen. Nach wie vor ist bei der Nutzung von Tor aber der Nutzer gefragt, um weiterhin wirklich anonym zu bleiben.


eye home zur Startseite
janxb 17. Mär 2016

Ziemlich gute Idee! :D Das entsprechende CSS könnte man ja auch automatisch generieren...

rocket_to_russia 11. Mär 2016

Fingerprinting (was nicht direkt etwas mit Deanonymisierung zu tun hat) ist erst mal nur...

Proctrap 11. Mär 2016

Oder Seiten die das durch ihren Aufbau verhindern, da darf man dann probieren, wo der...

DebugErr 10. Mär 2016

Bestimmt kann man auch typische Scrolltechniken von der Benutzung des Scrollrades...

denta 10. Mär 2016

Darum geht es nicht. Im Artikel heißt es "Ein neues Konzept nutzt dazu Mausrad, CPU und...



Anzeige

Stellenmarkt
  1. PiSA sales GmbH, Berlin
  2. dSPACE GmbH, Paderborn
  3. Deutsche Hypothekenbank AG, Hannover
  4. AKDB, München


Anzeige
Top-Angebote
  1. 349€ (bitte nach unten scrollen)
  2. (heute u. a. Nintendo Switch Bundles, Sony UHD-TVs, Amazon Echo Dot + Megaboom Lautsprecher für...
  3. 149€ + 5,99€ Versand

Folgen Sie uns
       


  1. GTA 5

    Goldener Revolver für Red Dead Redemption 2 versteckt

  2. Geldwäsche

    EU will den Bitcoin weniger anonym machen

  3. Soziale Medien

    Facebook-Forscher finden Facebook problematisch

  4. Streit um Stream On

    Die Telekom spielt das Uber-Spiel

  5. US-Verteidigungsministerium

    Pentagon forschte jahrelang heimlich nach Ufos

  6. Age of Empires (1997)

    Mit sanftem "Wololo" durch die Antike

  7. Augmented Reality

    Google stellt Project Tango ein

  8. Uber vs. Waymo

    Uber spionierte Konkurrenten aus

  9. Die Woche im Video

    Amerika, Amerika, BVG, Amerika, Security

  10. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

Amazon Video auf Apple TV im Hands on: Genau das fehlt auf dem Fire TV
Amazon Video auf Apple TV im Hands on
Genau das fehlt auf dem Fire TV
  1. Amazon Verkaufsbann für Apple TV bleibt bestehen
  2. Smartphone-Speicherkapazität Wie groß der Speicher eines iPhones sein sollte
  3. Mate 10 Pro im Test Starkes Smartphone mit noch unauffälliger KI

  1. Re: Technisch gesehen

    Crass Spektakel | 05:44

  2. Absolut keine Ahnung...

    Crass Spektakel | 05:39

  3. Re: Einfach aufhören

    User_x | 05:03

  4. Re: Scheissteil

    AIM-9 Sidewinder | 04:53

  5. Re: Die Anbieter dürften jubeln

    Faksimile | 04:38


  1. 14:17

  2. 13:34

  3. 12:33

  4. 11:38

  5. 10:34

  6. 08:00

  7. 12:47

  8. 11:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel