Software maakt een ‘vingerafdruk’ van je systeem, zodat je webactiviteiten kunnen worden gevolgd, vaak zelfs als je dat uitdrukkelijk niet wenst, aldus een onderzoek door de KU Leuven en iMinds.
In de voorbije jaren werden inspanningen geleverd om het ongewenst ‘tracken’ van het gedrag van een persoon in het web tegen te gaan, onder meer door beperkingen inzake het gebruik van cookies en dies meer. Ook hebben browsers wel vaker een modus die privacy bij het gebruik van het internet moet garanderen. Uit onderzoek van de KU Leuven en iMinds blijkt nu dat websites echter wel vaker gebruik maken van software waarmee het toestel van een gebruiker kan worden geïdentificeerd, waarna het gedrag van de gebruiker kan worden gevolgd – eventueel zelfs als hij of zij uitdrukkelijk verkoos dat niet te doen.
Vingerafdruk
Zo kan van een ‘vingerafdruk’ worden gemaakt van de kenmerken van een browser, en het systeem waarop die wordt aangewend, bij het surfen in het web. De grootte van het scherm, gebruikte softwareversies, de geïnstalleerde lettertypes en dies meer, maken deel uit van die vingerafdruk. Gewoonlijk wordt die vingerafdruk opgemaakt op basis van een onzichtbaar Flash-object en de wijze hoe de browser dat verwerkt. Systemen di e geen gebruik maken van Flash (zoals iPad en iPhone) kunnen een equivalent krijgen, in de vorm van een onzichtbaar bericht.
Een legitiem gebruik van dergelijke vingerafdrukken is onder meer het opsporen van fraude, of het blokkeren van toestellen die als ‘zombies’ (gehackte toestellen die voor malafide praktijken worden ingezet) fungeren. Uit het onderzoek, verricht door Gunes Acar aan de KU Leuven, in samenwerking met collega’s uit universiteiten in Spanje en de VS, bleek evenwel dat fingerprinting vaker dan gedacht, werd aangewend en dat hierbij geen rekening werd gehouden met de ‘do not track’ indicatie.
Met behulp van een eigen detectie framework – FPDetective – werd aangetoond dat 404 sites in de Alexa top miljoen pagina’s hun bezoekers ‘fingerprinten’. Dat getal moet als een minimum worden beschouwd, want de aangewende ‘crawler’ kon niet voorbij de pagina’s kijken achter een ‘captcha’ controle). Voor 95 van de top 10.000 sites gebeurde de fingerprinting al op de ‘home page’. Ook de Tor browser, en een Firefox uitbreiding, Firegloves, bleken gevoelig voor deze aanpak. In de versie 2.4 van Tor zou dit worden gepatcht.
