Es kommt, wie es kommen musste: Mit der Zunahme von Tracker-Blockern suchen Datensammler nach neuen Wegen, um die Nutzer auszuspionieren. Immerhin gibt es jenseits jener "Third Party Cookies", die zumeist im Fokus der Diskussion stehen, auch noch andere Wege, um einzelne User eindeutig zu identifizieren. Ein Forscher zeigt dabei nun einen simplen Weg auf, der aus einer Privacy-Perspektive durchaus Sorgen bereiten darf.

Neues Supercookie

Favicons können als eine Art "Supercookie" dazu genutzt werden, einzelne Nutzer eindeutig zu identifizieren. Was besonders unerfreulich ist: Das Ganze funktioniert auch, wenn andere Schutzmaßnahmen ergriffen wurden. Sowohl die Nutzung eines VPNs als auch des Incognito-Modus oder eines klassischen Ad- oder Tracker-Blockers ändert nichts daran, dass die User eindeutig erkannt werden können. Selbst das Löschen des Browser-Caches bringt in diesem Fall nichts.

Theorie und Praxis

Die Idee hinter dieser neuen Art an Supercookie wurde vor einigen Wochen von Forschern an der Universität von Illinois präsentiert. Der deutsche Softwareentwickler Jonas Strehle hat sie nun aber aus Demonstrationszwecken in die Praxis umgesetzt und den zugehörigen Code auf "Github" veröffentlicht.

Bei den Favicons handelt es sich um jene kleinen Grafiken, die sowohl in der Adresszeile als auch bei den Tabs die einzelnen Webseiten repräsentieren. Das Problem: Diese werden aus Performance-Gründen in einem eigenen Cache am lokalen System abgelegt. Besucht nun ein Nutzer eine Webseite, wird automatisch überprüft, ob ein Favicon benötigt wird, wofür natürlich eine Abfrage an den Server notwendig ist. Dies kann nun ein Angreifer ausnutzen, um mittels der Umleitung auf verschiedene Subdomains den Usern ein eindeutiges Set mehrere Favicons unterzujubeln. Bei der nächsten Abfrage wartet der Server dann einfach darauf, welche Favicons abgefragt werden. Auf diese Weise wird dann quasi eine eindeutige ID erstellt.

Wettlauf

Die gute Nachricht: Belege dafür, dass dieser Trick bereits aktiv angewandt wird, gibt es nicht. Trotzdem ist der Bericht eine Erinnerung daran, dass es mit dem Blockieren von "Third Party Cookies" nicht getan ist. Dabei sind "Supercookies" auch gar keine neue Erfindung, immer wieder versuchen zweifelhafte Webseiten neue Wege zu finden, um die Nutzer auszuspionieren. So war es lange eine gebräuchliche Praxis, dass Webseiten den geteilten Browser-Cache ausnutzen, um die User zu identifizieren. Mittlerweile führen deswegen die großen Browser – schon länger Safari und Chrome, seit kurzem auch Firefox – separate Caches für jede eigene Webseite. Das bereitet diesen Machenschaften ein Ende, hat aber natürlich den Nachteil, dass Speicherplatzverbrauch auf dem lokalen Rechner größer wird, immerhin können die Ressourcen nicht mehr geteilt werden.

Fingerabdrücke, überall

Doch auch sonst gibt es noch viele Möglichkeiten, die Nutzer eindeutig zu identifizieren. So verrät etwa alleine der "User Agent String", mit dem jeder Browser sich gegenüber einer Webseite zu erkennen gibt, viele Informationen über die Nutzer und das von ihnen verwendete System. Das ist auch der Grund, warum Google vor einiger Zeit ein "Einfrieren" dieser Informationen und ein späteres Austauschen gegen generische Werte vorgeschlagen hat. Nachdem Webseiten-Entwickler vor potenziellen Problemen bei der Darstellung gewarnt haben, und auch angesichts der Covid-19-Pandemie, wurde dieses Projekt aber verschoben.

Aber auch sonst liefert ein Browser auf Rückfrage viele Informationen, und zwar nicht mit bösartiger Absicht, sondern weil damit Webseiten darüber Aufschluss gegeben wird, welche Funktionen sie nutzen können. Und diese Situation ist viel schwerer aufzulösen, immerhin geht es hier um die Grundlagen, wie Webseiten derzeit funktionieren. So betonte denn auch Mozilla-Technikchef Dave Camp im Vorjahr im Interview mit dem STANDARD, dass man früher zu naiv an diese Dinge herangegangen sei und das nun ausbaden müsse. Der Wettlauf zwischen Datensammlern und Privacy-Verschärfungen dürfte also wohl noch länger anhalten. (Andreas Proschofsky, 12.2.2021)