Forscher:innen von Universitäten in Australien, Frankreich und Israel haben sich zusammengetan, um einen wichtigen Punkt der Online-Überwachung näher zu erforschen: die Hardwarekomponente. Denn nicht nur digitale IDs verraten Anbietern Details über dich, sondern auch bestimmte Marker deiner Grafikkarte. Das erleichtert ihnen etwa das Online-Tracking über den von dir verwendeten Browser.
Online-Tracking dank Hardware
Der Verbund führte ein umfangreiches Crowd-Sourcing-Experiment durch. Bislang nahmen daran rund 2.250 Geräte mit insgesamt 1.605 unterschiedlichen GPU-Konfigurationen teil. Anhand dieser Stichprobe demonstrierte das Team eine Methode, die es DrawnApart nennt. Dabei handelt es sich um ein GPU-Fingerprinting-Verfahren. Will heißen: Die Wissenschaftler:innen identifizieren Geräte und folglich Personen anhand der einzigartigen Eigenschaften ihrer GPU-Stacks. Das kann etwa zum Online-Tracking eingesetzt werden.
Verglichen mit modernsten Methoden soll dieser Vorgang die Tracking-Dauer um bis zu 67 Prozent erhöhen.
Konkret lässt DrawnApart über die in diversen Browsern gängige Grafik-Schnittstelle WebGL Grafikberechnungen laufen. Dabei protokolliert die Software einige Parameter, über die sich die jeweilige Hardware identifizieren lassen soll. Mit der demonstrierten Effektivität unterstreicht das Team vor allem eines: Nutzt du gängige Browser, sind deine Datenschutzeinstellungen mehr oder minder überflüssig.
WebGL deaktivieren
Der internationale Forschungsverbund rät zur Verwendung von sicheren Alternativen. So würden Filterlisten Ressourcen blockieren, die eine Bedrohung für deinen Datenschutz darstellen. Das Experiment der Autor:innen zeigt aber, dass auch diese Listen nicht vollständig sind. Um DrawnApart zu blockieren, „könnte der Grafik-Stack jede Webseite auf eine einzige EU [Execution Unit; dt.: Ausführungseinheit] beschränken oder das hardwarebeschleunigte Rendering ganz abschalten“. Darunter würde die Nutzungsfreundlichkeit aber massiv leiden.
Eine realistische Möglichkeit, um Online-Tracking zu meiden, bestehe darin, die WebGL-API in Browsern zu deaktivieren. Sie wird derzeit nur auf einem kleinen Prozentsatz der Websites verwendet. Khronos, die Organisation, die für WebGL zuständig ist, arbeitet an einer möglichen Abhilfe.
Das funktioniert bei Google Chrome folgendermaßen:
- Gib chrome://flags/ in die Adressleiste deines Browsers ein.
- Such nach „WebGL“.
- Ändere den Status den entsprechenden Eintrags auf „Disabled“.
„Privatsphäre ist Würde“
„Privatsphäre ist Würde. Sie ist ein Menschenrecht. Beim Surfen im Internet sollte das Recht auf Privatsphäre Websites daran hindern, die Surfaktivitäten der Nutzer ohne deren Zustimmung zu verfolgen. Dies gilt insbesondere für das seitenübergreifende Tracking, bei dem die Betreiber von Websites zusammenarbeiten, um über längere Zeiträume hinweg Surfprofile über mehrere Websites hinweg zu erstellen.“
T. Laor et al. (via arXiv.org)
Quelle: „DRAWNAPART: A Device Identification Technique based on Remote GPU Fingerprinting“ (2022, arXiv)