Abo
  • Services:
Anzeige
Ein Mausrad kann zur Identifizierung von Tor-Nutzern beitragen.
Ein Mausrad kann zur Identifizierung von Tor-Nutzern beitragen. (Bild: Darkone/CC-BY-SA 2.5)

Security: Tor-Nutzer über Mausrad identifizieren

Ein Mausrad kann zur Identifizierung von Tor-Nutzern beitragen.
Ein Mausrad kann zur Identifizierung von Tor-Nutzern beitragen. (Bild: Darkone/CC-BY-SA 2.5)

Tor verspricht Privatsphäre. Doch auch Nutzer des Anonymisierungsdienstes haben einen eindeutigen Fingerprint. Ein neues Konzept nutzt dazu Mausrad, CPU und DOM-Elemente.

Der Softwareentwickler Jose Carlos Norte hat in einem Blogpost einige Gedanken für ein erweitertes Fingerprinting von Tor-Nutzern vorgestellt. Er nutzt dazu ungewöhnliche Metriken wie die CPU-Geschwindigkeit, das Mausrad und das Element getClientRects().

Anzeige

Der Tor-Browser deaktiviert viele bekannte Methoden zum Fingerprinting, wie zum Beispiel das Canvas-Fingerprinting. Außerdem wird davor gewarnt, den Browser maximiert auszuführen, weil so die maximale Auflösung des Bildschirmes erfasst werden kann.

In einem Proof-of-Concept hat Norte jetzt unter dem Namen UberCookie neue Vorgehensweisen in "kontrollierten Umgebungen" erfolgreich ausprobiert, wie er schreibt. Dazu musste er zunächst Beschränkungen des Tor-Browsers umgehen. Die Funktion javascript Date.getTime() (unix time) wird dort nur alle 100 ms auf den aktuellen Stand gebracht. Mit Hilfe eines Webworker-Elements und der Einstellung setInterval gelang es ihm, eine größere Genauigkeit im Bereich von einigen Millisekunden zu erreichen.

Das verräterische Mausrad

Als einen Indikator des Fingerprintings nutzt Norte in seinem PoC das Mausrad. Bei einem normalen PC mit Standardmaus sei das gescrollte Delta immer drei, schreibt er. Doch bei Trackpads gebe es größere Unterschiede und damit auch Differenzierungsmöglichkeiten. Auch die Geschwindigkeit des Mauszeigers selbst könnte zur Identifikation genutzt werden, weil auch hier das Tempo mit der verwendeten Hardware und Software korrelieren würde.

Durch die Veränderung des setInterval-Parameters sei es auch möglich, Rückschlüsse auf die verwendete CPU zuziehen. Dazu müsse auf der Webseite ein rechenintensives Skript laden, das dann eine Einordnung der Rechenleistung des verwendeten PCs ermöglicht. Mit der gleichen Version des Tor-Browsers auf unterschiedlichen Rechnern habe er sehr unterschiedliche Ergebnisse bekommen, schreibt Norte.

Verwundert zeigt er sich darüber, dass der Tor-Browser zwar eine direkte Abfrage von Canvas-Elementen verhindern würde, aber über die Javascript-API die Position bestimmter DOM-Elemente abrufbar ist. Dazu wird die Funktion getClientRects genutzt. Damit kann die exakte Position verschiedener Elemente auf einer Webseite ermittelt werden. Je nach verwendeter Auflösung, Schriftartenkonfiguration und anderen Faktoren ergeben sich daraus sehr unterschiedliche Ergebnisse, die eine Identifikation einzelner Nutzer ermöglichen.

Einige der Angriffsvektoren dürften sich durch ein Softwareupdate beheben lassen. Nach wie vor ist bei der Nutzung von Tor aber der Nutzer gefragt, um weiterhin wirklich anonym zu bleiben.


eye home zur Startseite
janxb 17. Mär 2016

Ziemlich gute Idee! :D Das entsprechende CSS könnte man ja auch automatisch generieren...

rocket_to_russia 11. Mär 2016

Fingerprinting (was nicht direkt etwas mit Deanonymisierung zu tun hat) ist erst mal nur...

Proctrap 11. Mär 2016

Oder Seiten die das durch ihren Aufbau verhindern, da darf man dann probieren, wo der...

DebugErr 10. Mär 2016

Bestimmt kann man auch typische Scrolltechniken von der Benutzung des Scrollrades...

denta 10. Mär 2016

Darum geht es nicht. Im Artikel heißt es "Ein neues Konzept nutzt dazu Mausrad, CPU und...



Anzeige

Stellenmarkt
  1. State Street Bank International GmbH, München
  2. Deloitte, verschiedene Standorte
  3. andagon GmbH, Köln
  4. Bundeskriminalamt, Wiesbaden


Anzeige
Hardware-Angebote
  1. ab 179,99€
  2. 64,90€ + 3,99€ Versand
  3. 564,90€ + 3,99€ Versand

Folgen Sie uns
       


  1. Europol

    EU will "Entschlüsselungsplattform" ausbauen

  2. Krack-Angriff

    AVM liefert erste Updates für Repeater und Powerline

  3. Spieleklassiker

    Mafia digital bei GoG erhältlich

  4. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  5. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  6. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  7. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  8. Die Woche im Video

    Wegen Krack wie auf Crack!

  9. Windows 10

    Fall Creators Update macht Ryzen schneller

  10. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Essential Phone im Test: Das essenzielle Android-Smartphone hat ein Problem
Essential Phone im Test
Das essenzielle Android-Smartphone hat ein Problem
  1. Teardown Das Essential Phone ist praktisch nicht zu reparieren
  2. Smartphone Essential Phone kommt mit zwei Monaten Verspätung
  3. Andy Rubin Essential gewinnt 300 Millionen US-Dollar Investorengelder

Pixel 2 und Pixel 2 XL im Test: Google fehlt der Mut
Pixel 2 und Pixel 2 XL im Test
Google fehlt der Mut
  1. Pixel Visual Core Googles eigener ISP macht HDR+ schneller
  2. Smartphones Googles Pixel 2 ist in Deutschland besonders teuer
  3. Pixel 2 und Pixel 2 XL im Hands on Googles neue Smartphone-Oberklasse überzeugt

Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

  1. Re: Darum wird sich Linux nie so richtig durchsetzen

    Pete Sabacker | 14:24

  2. warten

    Crass Spektakel | 14:24

  3. Re: bei mir genau umgekehrt ...

    Pete Sabacker | 14:20

  4. Re: Vertärkter Handel mit Lücken?

    serra.avatar | 14:18

  5. Spielkonsole?

    Crass Spektakel | 14:16


  1. 13:27

  2. 11:25

  3. 17:14

  4. 16:25

  5. 15:34

  6. 13:05

  7. 11:59

  8. 09:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel