Wat is device fingerprinting?
Als je surft, word je niet alleen gevolgd met behulp van cookies, maar steeds vaker ook door device fingerprinting. Wat is dit en waarom kan je er niets tegen doen?
Je browser is het venster op de online wereld, maar in toenemende mate voor anderen ook het venster op jouw leven. Vorige week liet collega Maurits Martijn al zien hoeveel bedrijven en organisaties ons online kunnen volgen. Advertentiebedrijven, databedrijven en websites zelf proberen zo inzicht te krijgen in wie we zijn, wat we doen en hoe ze ons het meest efficiënt kunnen verleiden. In veel gevallen doen ze dat door een cookie te plaatsen op je computer. Tegen deze cookies kun je je nog redelijk wapenen. Het is echter een wapenwedloop tussen adverteerder en gebruiker en voorlopig winnen de trackers. Uit nieuw, nog nauwelijks besproken onderzoek blijkt dat een nieuwe vorm van online volgen in opmars is: device fingerprinting. En je kunt er niets tegen doen.
Wat is device fingerprinting?
Het idee achter device fingerprinting is dat van iedereen via Chrome, Firefox, Safari, Internet Explorer of Opera een unieke vingerafdruk wordt samengesteld. Mijn browsers (Chrome en Firefox) vertellen websites dat ik in Nederland verblijf en dat ik geen cookies accepteer. Dat ik een aantal programma’s (plugins) op mijn browser heb geïnstalleerd, zoals Ghostery, Pocket, Feedly, Hola Unblocker, Mask Me en AdBlock Plus. In mijn vingerafdruk staat ook welke fonts, dus lettertypes ik gebruik (dat verschilt erg per gebruiker), hoe groot mijn scherm is en dat ik er twee gebruik. Ook is bekend welk operating system ik gebruik (Windows).
Daarnaast laat haast iedereen JavaScript en Flash toe. JavaScript is een belangrijke programmeertaal die veel websites interactiever maakt. Flash zorgt ervoor dat media zoals video goed worden weergegeven. De instellingen van deze twee softwarecomponenten op je browser kunnen ook worden uitgelezen.
Deze kenmerken bij elkaar leveren een vrijwel unieke vingerafdruk op. In 2010 bleek uit het zogenoemde Panopticlick-onderzoek dat van een half miljoen geteste gebruikers 94,2 procent uniek geïdentificeerd kon worden met behulp van zo’n browser-vingerafdruk. Met device fingerprinting worden deze unieke variabelen met software op afstand geanalyseerd en onthouden.
Wie doet aan fingerprinting?
Fingerprinting werd in 2005 voor het eerst waargenomen. En sinds vorige week hebben we een redelijk idee hoe vaak. Onderzoekers van de Katholieke Universiteit Leuven publiceerden een onderzoek waarin een miljoen websites zijn geanalyseerd. Ze bouwden een softwarepakket dat het verkeer van en naar websites registreert en analyseert. Ze beperkten zich daarbij tot fingerprinters die de lijst met geïnstalleerde lettertypes ophaalden. Deze lijst verschilt het meest tussen webbrowsers. Belangrijk ook is dat het populaire anonimiseringspakket Tor ook zo’n lijst van lettertypes laadt. Waarom dat belangrijk is, wordt straks duidelijk.
Van de miljoen onderzochte websites, werden op 404 de fonts opgevraagd door een fingerprinter. Dat lijkt heel weinig, maar drie van websites stonden in de top-500 van populaire sites en hebben dus miljoenen bezoekers. De onderzoekers kunnen nog niet alle sites onthullen vanwege mogelijke juridische repercussies die eerst uitgezocht moeten worden. Een aantal is wel bekend gemaakt: boekingssite orbitz.com, t-mobile.de/co.uk , westernunion.com en pokerstrategy.com. In een eerder onderzoek kwam Skype naar voren. 404 is overigens aan de lage kant. De onderzoekers hebben alleen de homepages bezocht en nergens ingelogd. In een beperkter analyse van 10.000 sites, waarbij wel meer binnen de site werd gezocht, werden relatief meer fingerprinters gevonden, tot ongeveer 1,5 procent van alle sites.
De populairste fingerprinter is BlueCava, die op 250 sites is aangetroffen. BlueCava koppelt bezoekers aan hun verschillende computers, zoals laptop, desktop, smartphone en tablet. Daarmee kunnen bezoekers beter gevolgd worden. ‘Each screen is an opportunity to engage with and market to a target audience,’ aldus BlueCava. Een andere aanbieder van deze technologie is Myfreecams.com, een sekssite. Een vreemde eend in de bijt is Anonymizer. Deze site helpt gebruikers om hun privacy-instellingen te verbeteren, maar plaatst dus zelf trackingsoftware.
In hoeverre fingerprinting op Nederlandse sites wordt gebruikt, is niet bekend. Ik heb een eerste analyse gedaan op de top-100 meest populaire sites en daar geen fingerprintscript aangetroffen. Op dit moment ben ik echter met een uitgebreide verkeersanalyse bezig. Als fingerprinting ook in Nederland wordt gebruikt, komt dat er waarschijnlijk wel uit. Ik houd u op de hoogte.
Waarom wordt device fingerprinting gebruikt?
De fingerprinters lijken twee doelen na te streven. Het eerste is fraudedetectie. Een aantal nieuwssites wil bijvoorbeeld controleren of de betaalmuur niet omzeild wordt, doordat bijvoorbeeld een password wordt gedeeld. Als er van veel verschillende apparaten wordt ingelogd, kan dat een teken zijn dat er iets mis is.
Sommige fingerprinters, zoals Iovation, pochen dat ze ‘al uw klanten al kennen,’ omdat ze al honderden miljoenen apparaten aan een gebruiker hebben gekoppeld. Voor bedrijven kan het interessant zijn om te weten welke apparaten vaak voor frauduleuze handelingen of DDOS-aanvallen worden gebruikt: die kunnen geweerd worden.
Een aantal fingerprinters, zoals die van BlueCava, wordt ingezet voor marketingdoeleinden. De meeste advertentie- en marketingbedrijven concentreren zich op de consument. Deze bedrijven juist op het apparaat. Ze snappen dat de unieke samenstelling van browserinstellingen een rijk klantbeeld geeft. Er zijn echter grote privacy-problemen met deze manier van tracken.
Wat is er dan mis mee?
Veel. Ten eerste is device fingerprinting moeilijk te detecteren. Een cookie kun je vrij makkelijk vinden en weigeren. De meeste browsers hebben een privacy-instellingen waarmee je cookies weigert. Daarnaast is duidelijk waar de cookies worden opgeslagen en kun je ze makkelijk wissen. De fingerprintsoftware wordt niet in een browsermap opgeslagen, maar bijvoorbeeld in de Flash-folder van je computer. Dat moet je maar net weten.
Opt-out, zoals met cookies, is niet mogelijk. Ook houden de fingerprinters zich niet aan het Do Not Track, of Volg-Me-Niet-register. In die registers kun je aangeven dat je niet online getracked wil worden. Nette bedrijven houden zich daar aan. De fingerprinters dus niet. Sterker nog, de onderzoekers ontdekten dat SiteBlackBox software installeert, een vingerafdruk maakt en de software vervolgens verwijdert, vermoedelijk om ontdekking te voorkomen.
Er is wel software om de fingerprinters te blokkeren, maar die hebben een groot nadeel. Het feit dat je de software blokkeert, past ook weer in je vingeradruk. Het blokkeren leidt dus tot extra identificatiemogelijkheden. Ook een sterk anonimiseringspakket als Tor is niet tegen het fingerprinten bestand, omdat ook Tor een aantal lettertypen gebruikt die tot identificering kan leiden.
Update 10:50 uur. De onderzoekers wezen mij op een foutje. Niet BlueCava verwijdert trackingsoftware, maar SiteBlackBox.