Abo
  • Services:

Security: Tor-Nutzer über Mausrad identifizieren

Tor verspricht Privatsphäre. Doch auch Nutzer des Anonymisierungsdienstes haben einen eindeutigen Fingerprint. Ein neues Konzept nutzt dazu Mausrad, CPU und DOM-Elemente.

Artikel veröffentlicht am ,
Ein Mausrad kann zur Identifizierung von Tor-Nutzern beitragen.
Ein Mausrad kann zur Identifizierung von Tor-Nutzern beitragen. (Bild: Darkone/CC-BY-SA 2.5)

Der Softwareentwickler Jose Carlos Norte hat in einem Blogpost einige Gedanken für ein erweitertes Fingerprinting von Tor-Nutzern vorgestellt. Er nutzt dazu ungewöhnliche Metriken wie die CPU-Geschwindigkeit, das Mausrad und das Element getClientRects().

Stellenmarkt
  1. Technische Universität Kaiserslautern, Kaiserslautern
  2. Bosch Gruppe, Stuttgart

Der Tor-Browser deaktiviert viele bekannte Methoden zum Fingerprinting, wie zum Beispiel das Canvas-Fingerprinting. Außerdem wird davor gewarnt, den Browser maximiert auszuführen, weil so die maximale Auflösung des Bildschirmes erfasst werden kann.

In einem Proof-of-Concept hat Norte jetzt unter dem Namen UberCookie neue Vorgehensweisen in "kontrollierten Umgebungen" erfolgreich ausprobiert, wie er schreibt. Dazu musste er zunächst Beschränkungen des Tor-Browsers umgehen. Die Funktion javascript Date.getTime() (unix time) wird dort nur alle 100 ms auf den aktuellen Stand gebracht. Mit Hilfe eines Webworker-Elements und der Einstellung setInterval gelang es ihm, eine größere Genauigkeit im Bereich von einigen Millisekunden zu erreichen.

Das verräterische Mausrad

Als einen Indikator des Fingerprintings nutzt Norte in seinem PoC das Mausrad. Bei einem normalen PC mit Standardmaus sei das gescrollte Delta immer drei, schreibt er. Doch bei Trackpads gebe es größere Unterschiede und damit auch Differenzierungsmöglichkeiten. Auch die Geschwindigkeit des Mauszeigers selbst könnte zur Identifikation genutzt werden, weil auch hier das Tempo mit der verwendeten Hardware und Software korrelieren würde.

Durch die Veränderung des setInterval-Parameters sei es auch möglich, Rückschlüsse auf die verwendete CPU zuziehen. Dazu müsse auf der Webseite ein rechenintensives Skript laden, das dann eine Einordnung der Rechenleistung des verwendeten PCs ermöglicht. Mit der gleichen Version des Tor-Browsers auf unterschiedlichen Rechnern habe er sehr unterschiedliche Ergebnisse bekommen, schreibt Norte.

Verwundert zeigt er sich darüber, dass der Tor-Browser zwar eine direkte Abfrage von Canvas-Elementen verhindern würde, aber über die Javascript-API die Position bestimmter DOM-Elemente abrufbar ist. Dazu wird die Funktion getClientRects genutzt. Damit kann die exakte Position verschiedener Elemente auf einer Webseite ermittelt werden. Je nach verwendeter Auflösung, Schriftartenkonfiguration und anderen Faktoren ergeben sich daraus sehr unterschiedliche Ergebnisse, die eine Identifikation einzelner Nutzer ermöglichen.

Einige der Angriffsvektoren dürften sich durch ein Softwareupdate beheben lassen. Nach wie vor ist bei der Nutzung von Tor aber der Nutzer gefragt, um weiterhin wirklich anonym zu bleiben.

Zu den Kommentaren springen
Meistgelesen
  1. Stadia ausprobiert
    Um die Grafikoptionen kümmert sich Google
  2. Kodi mit Raspberry Pi
    Pimp up your Hi-Fi-Receiver
  3. Urheberrecht
    Wikipedia aus Protest gegen Uploadfilter abgeschaltet
  4. NUC8 (Crimson Canyon) im Test
    AMD rettet Intels 10-nm-Minirechner
  5. Volvo Care Key
    Autoschlüssel mit integriertem Tempolimit
Anzeige
Top-Angebote
  1. 699,90€
  2. (u. a. Football Manager 2019 20,99€, Car Mechanic Simulator2018 7,99€)
  3. 103,90€
  4. (u. a. Blade Runner 2049, Kingsman: The Golden Circle)
Kommentarübersicht
Re: Javascript in TOR
janxb 17. Mär 2016

Ziemlich gute Idee! :D Das entsprechende CSS könnte man ja auch automatisch generieren...

Re: Bildschirmauflösung
rocket_to_russia 11. Mär 2016

Fingerprinting (was nicht direkt etwas mit Deanonymisierung zu tun hat) ist erst mal nur...

Re: Scrollen per mitlerer Maustaste
Proctrap 11. Mär 2016

Oder Seiten die das durch ihren Aufbau verhindern, da darf man dann probieren, wo der...

Verhaltensmuster Scrollrad
DebugErr 10. Mär 2016

Bestimmt kann man auch typische Scrolltechniken von der Benutzung des Scrollrades...

Re: Mehr Schein als Sein
denta 10. Mär 2016

Darum geht es nicht. Im Artikel heißt es "Ein neues Konzept nutzt dazu Mausrad, CPU und...

Folgen Sie uns
       
Huawei Matebook 14 - Hands on (MWC 2019)

Das Matebook 14 ist eines von zwei neuen Notebooks, das Huawei auf dem MWC 2019 vorgestellt hat. Golem.de hat sich das Gerät genauer angeschaut.

Huawei Matebook 14 - Hands on (MWC 2019) Video aufrufen
Nvidia Turing
Geforce GTX 1660 im Test: Für 230 Euro eine faire Sache
Geforce GTX 1660 im Test
Für 230 Euro eine faire Sache

Die Geforce GTX 1660 - ohne Ti am Ende - rechnet so flott wie AMDs Radeon RX 590 und kostet in etwa das Gleiche. Der klare Vorteil der Nvidia-Grafikkarte ist die drastisch geringere Leistungsaufnahme.

  1. EC2 G4 AWS nutzt Nvidias Tesla T4 für Inferencing-Cloud
  2. Zotac Geforce GTX 1660 Ti im Test Gute 1440p-Karte für unter 300 Euro
  3. Nvidia Turing OBS unterstützt Encoder der Geforce RTX
Micro-LED
Display-Technik: So funktionieren Micro-LEDs
Display-Technik
So funktionieren Micro-LEDs

Nach Flüssigkristallanzeigen (LCD) mit Hintergrundbeleuchtung und OLED-Bildschirmen sind Micro-LEDs der nächste Schritt: Apple arbeitet daran für Smartwatches und Samsung hat bereits einen Fernseher vorgestellt. Die Technik hat viele Vorteile, ist aber aufwendig in der Fertigung.
Von Mike Wobker

  1. AU Optronics Apple soll Wechsel von OLEDs zu Micro-LEDs vorbereiten
Samsung
Galaxy S10e im Test: Samsungs kleines feines Top-Smartphone
Galaxy S10e im Test
Samsungs kleines feines Top-Smartphone

Mit dem Galaxy S10e bietet Samsung auch ein kompaktes Modell seiner neuen Oberklasse-Smartphone-Serie an. Beim Gerät gibt es zwar ein paar Abstriche bei der Hardware, es liegt aber fantastisch in der Hand und macht super Fotos - für uns der klare Geheimtipp der neuen Reihe.
Ein Test von Tobias Költzsch

  1. Samsung Flashbolt HBM2E-Speicher hat 16 GByte und 3,2 GBit/s
  2. Samsung Galaxy M20 kommt an drei Tagen nach Deutschland
  3. Smartphone Samsungs LPDDR4X-Speicher fasst 12 GByte
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /