Security: Tor-Nutzer über Mausrad identifizieren

Tor verspricht Privatsphäre. Doch auch Nutzer des Anonymisierungsdienstes haben einen eindeutigen Fingerprint. Ein neues Konzept nutzt dazu Mausrad, CPU und DOM-Elemente.

Artikel veröffentlicht am ,
Ein Mausrad kann zur Identifizierung von Tor-Nutzern beitragen.
Ein Mausrad kann zur Identifizierung von Tor-Nutzern beitragen. (Bild: Darkone/CC-BY-SA 2.5)

Der Softwareentwickler Jose Carlos Norte hat in einem Blogpost einige Gedanken für ein erweitertes Fingerprinting von Tor-Nutzern vorgestellt. Er nutzt dazu ungewöhnliche Metriken wie die CPU-Geschwindigkeit, das Mausrad und das Element getClientRects().

Stellenmarkt
  1. Supplier / Vendor Governance Expert (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim
  2. Spezialist (m/w/d) PMO / Project Management Office
    RITTAL GmbH & Co. KG, Herborn
Detailsuche

Der Tor-Browser deaktiviert viele bekannte Methoden zum Fingerprinting, wie zum Beispiel das Canvas-Fingerprinting. Außerdem wird davor gewarnt, den Browser maximiert auszuführen, weil so die maximale Auflösung des Bildschirmes erfasst werden kann.

In einem Proof-of-Concept hat Norte jetzt unter dem Namen UberCookie neue Vorgehensweisen in "kontrollierten Umgebungen" erfolgreich ausprobiert, wie er schreibt. Dazu musste er zunächst Beschränkungen des Tor-Browsers umgehen. Die Funktion javascript Date.getTime() (unix time) wird dort nur alle 100 ms auf den aktuellen Stand gebracht. Mit Hilfe eines Webworker-Elements und der Einstellung setInterval gelang es ihm, eine größere Genauigkeit im Bereich von einigen Millisekunden zu erreichen.

Das verräterische Mausrad

Als einen Indikator des Fingerprintings nutzt Norte in seinem PoC das Mausrad. Bei einem normalen PC mit Standardmaus sei das gescrollte Delta immer drei, schreibt er. Doch bei Trackpads gebe es größere Unterschiede und damit auch Differenzierungsmöglichkeiten. Auch die Geschwindigkeit des Mauszeigers selbst könnte zur Identifikation genutzt werden, weil auch hier das Tempo mit der verwendeten Hardware und Software korrelieren würde.

Golem Akademie
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    7.–8. Februar 2022, Virtuell
  2. Unreal Engine 4 Grundlagen: virtueller Drei-Tage-Workshop
    28. Februar–2. März 2022, Virtuell
Weitere IT-Trainings

Durch die Veränderung des setInterval-Parameters sei es auch möglich, Rückschlüsse auf die verwendete CPU zuziehen. Dazu müsse auf der Webseite ein rechenintensives Skript laden, das dann eine Einordnung der Rechenleistung des verwendeten PCs ermöglicht. Mit der gleichen Version des Tor-Browsers auf unterschiedlichen Rechnern habe er sehr unterschiedliche Ergebnisse bekommen, schreibt Norte.

Verwundert zeigt er sich darüber, dass der Tor-Browser zwar eine direkte Abfrage von Canvas-Elementen verhindern würde, aber über die Javascript-API die Position bestimmter DOM-Elemente abrufbar ist. Dazu wird die Funktion getClientRects genutzt. Damit kann die exakte Position verschiedener Elemente auf einer Webseite ermittelt werden. Je nach verwendeter Auflösung, Schriftartenkonfiguration und anderen Faktoren ergeben sich daraus sehr unterschiedliche Ergebnisse, die eine Identifikation einzelner Nutzer ermöglichen.

Einige der Angriffsvektoren dürften sich durch ein Softwareupdate beheben lassen. Nach wie vor ist bei der Nutzung von Tor aber der Nutzer gefragt, um weiterhin wirklich anonym zu bleiben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


janxb 17. Mär 2016

Ziemlich gute Idee! :D Das entsprechende CSS könnte man ja auch automatisch generieren...

rocket_to_russia 11. Mär 2016

Fingerprinting (was nicht direkt etwas mit Deanonymisierung zu tun hat) ist erst mal nur...

Proctrap 11. Mär 2016

Oder Seiten die das durch ihren Aufbau verhindern, da darf man dann probieren, wo der...

DebugErr 10. Mär 2016

Bestimmt kann man auch typische Scrolltechniken von der Benutzung des Scrollrades...

denta 10. Mär 2016

Darum geht es nicht. Im Artikel heißt es "Ein neues Konzept nutzt dazu Mausrad, CPU und...



Aktuell auf der Startseite von Golem.de
Wiz Squire und Hero im Test
Smart-Home-Lampen mit ein paar Schwächen zu viel

Eine der beiden Wiz-Lampen strahlt gleichzeitig nach oben und nach unten. Schöne Idee, doch leider klappt bei der Smart-Home-Steuerung einiges nicht.
Ein Test von Ingo Pakalski

Wiz Squire und Hero im Test: Smart-Home-Lampen mit ein paar Schwächen zu viel
Artikel
  1. Naomi SexyCyborg Wu: Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
    Naomi "SexyCyborg" Wu
    Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig

    Naomi Wu wird in der Maker-Szene für ihr Fachwissen geschätzt. Youtube demonetarisiert sie aber wohl wegen ihrer Körperproportionen.

  2. Gesichtserkennung verbessert: iOS 15.4 unterstützt Face ID mit Maske
    Gesichtserkennung verbessert
    iOS 15.4 unterstützt Face ID mit Maske

    iOS 15.4 ermöglicht es, das iPhone per Gesichtserkennung trotz Maske zu entsperren. Die Apple Watch ist dazu nicht mehr nötig.

  3. Giga Factory Berlin: Tesla kauft Bahngleis in Brandenburg
    Giga Factory Berlin
    Tesla kauft Bahngleis in Brandenburg

    Tesla will sein neues Werk in Grünheide besser an den öffentlichen Nahverkehr anbinden und kauft ein Schienenstück für einen eigenen Zug.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • iPhone 13 Pro 128GB 1.041,25€ • RTX 3080 12GB 1.539€ • DXRacer Gaming-Stuhl 159€ • LG OLED 55 Zoll 1.149€ • PS5 Digital mit o2-Vertrag bestellbar • One Plus Nord 2 Smartphones ab 335€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Sennheiser Gaming-Headset 169,90€ [Werbung]
    •  /