Der Softwareentwickler Jose Carlos Norte hat in einem Blogpost einige Gedanken für ein erweitertes Fingerprinting von Tor-Nutzern vorgestellt, schrieb golem.de. Er nutzt dazu ungewöhnliche Metriken wie die CPU-Geschwindigkeit, das Mausrad und das Element getClientRects().
Eigentlich ist es so, dass der Tor-Browser viele bekannte Methoden zum Fingerprinting, wie zum Beispiel das Canvas-Fingerprinting deaktiviert. Zudem wird auch davor gewarnt, den Browser maximiert auszuführen, weil so die maximale Auflösung des Bildschirmes erfasst werden kann.
Der Indikator Mausrad
Der Softwareentwickler Norte hat jetzt unter dem Namen UberCookie neue Vorgehensweisen in "kontrollierten Umgebungen" erfolgreich ausprobiert, wie er schreibt. Dazu musste er zunächst Beschränkungen des Tor-Browsers umgehen. Die Funktion javascript Date.getTime() (unix time) wird dort nur alle 100 ms auf den aktuellen Stand gebracht. Mit Hilfe eines Webworker-Elements und der Einstellung setInterval gelang es ihm, eine größere Genauigkeit im Bereich von einigen Millisekunden zu erreichen.
Wie Norte schreibt ist bei einem normalen PC mit Standardmaus das gescrollte Delta immer drei. Doch bei Trackpads gebe es größere Unterschiede und damit auch Differenzierungsmöglichkeiten. Auch die Geschwindigkeit des Mauszeigers selbst könnte zur Identifikation genutzt werden, weil auch hier das Tempo mit der verwendeten Hardware und Software korrelieren würde.
Rückschlüsse auf CPU und Position der DOM-Elemente möglich
Durch die Veränderung des setInterval-Parameters sei es auch möglich, Rückschlüsse auf die verwendete CPU zu ziehen. Dazu müsse man auf der Webseite ein rechenintensives Skript laden, das dann eine Einordnung der Rechenleistung des verwendeten PCs ermöglicht. Mit der gleichen Version des Tor-Browsers auf unterschiedlichen Rechnern habe er sehr unterschiedliche Ergebnisse bekommen.
Mittels der Funktion getClientRects kann die exakte Position verschiedener Elemente auf einer Webseite ermittelt werden. Je nach verwendeter Auflösung, Schriftartenkonfiguration und anderen Faktoren ergeben sich daraus sehr unterschiedliche Ergebnisse, die eine Identifikation einzelner Nutzer ermöglichen.
