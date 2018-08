Apple macht es vor: Im Herbst wird ein Update für den Webbrowser Safari erscheinen, das das Tracking des Nutzers deutlich erschweren soll. Viele Webseiten legen individuelle Profile für ihre Nutzer an, durch eine Kombination von diversen Systemparametern werden Nutzer so identifizierbar. Über die gesammelten Daten ist selbst die Verfolgung über Webseiten möglich – quasi der digitale Fingerabdruck eines Computers, ohne dabei allzu viel über seinen Nutzer zu verraten. Die neue Version von Safari möchte dies erschweren und gibt nur wenige Daten an die Betreiber von Webseiten und Werbenetzwerken weiter.

Ist das Problem damit beseitigt? Überhaupt nicht. Wie so häufig heißt das nur, dass die Anbieter von Werbung sich eine neue Variante einfallen lassen müssen, die bisher nicht geblockt wird. Offenbar wurde diese gefunden: Durch die Auswertung von Touch-Gesten sollen Nutzer weiterhin trackbar sein.

Es gibt viele Dinge, die innerhalb der Menschheit einzigartig sind. Begeben wir uns von körperlichen Merkmalen wie der Iris oder dem Fingerabdruck weg, hin zu motorischen Fähigkeiten, landen wir schnell bei der Handschrift. Ähnlich wie die Schrift sollen aber auch die Bewegungen, die wir auf Touchscreens durchführen, je Mensch nahezu einzigartig sein. Damit können Nutzer durch die Art der Bedienung identifiziert werden.

Wischen, Pinchen, Zoomen, Klicken – moderne Multi-Touchscreens können mit mehreren Eingaben zur gleichen Zeit umgehen. Damit ist die Bedienung mit mehreren Fingern oder gar zwei Händen ohne Probleme möglich. Dabei zeichnen wir auf den schlauen Bildschirmen unterschiedliche Gesten, um zu bedienen. Jetzt behaupten Forscher der Commonwealth Scientific and Industrial Research Organisation aus Australien, dass auch diese Bewegungen quasi einzigartig sind. Im April veröffentlichten die Forscher ein Paper, das diese Theorie untermauert. Mit der neuen Methodik sollen Nutzer mit einer Erfolgsrate von über 90% wiedererkannt werden können.

Zur Auswertung der Bewegungen haben die Forscher die Software TouchTrack entwickelt, die Software kann kostenlos bei Google Play heruntergeladen werden. Die Methodik wurde in einige kostenlose Spiele integriert, die daraus gewonnenen Daten dann analysiert. Schon wenige Samples einzelner Bewegungen sollen ausreichen, um die signifikanten Bewegungen eines Nutzers zu lernen. Besonders eindeutig sollen Wischbewegungen sein.

Die Daten über die Touchscreen-Bedienung von Geräten sind leicht von Drittanbieter-Software auslesbar. Mittels APIs können die Entwickler einfach auf die Eingaben zugreifen, natürlich ist dieser Zugriff für die Bedienung von Anwendungen auch absolut notwendig. Einige APIs geben aber nicht nur die Daten der Bewegung weiter, sondern liefern noch deutlich mehr Informationen – Informationen, die für die meisten Anwendungen eigentlich nicht notwendig sind. Ein Beispiel wäre die Druckintensität. Diese mag zwar bei der Verwendung einer Grafikanwendung notwendig sein, die meisten Apps nutzen diese aber effektiv nicht.

Die Forschung zeigt vor allem, wie aussagekräftig derartige Daten eigentlich sein können. Während wir lange über Cookies und andere Trackingmethoden sprechen, können Entwickler weitgehend auf diese Daten zugreifen, ohne dass es einen öffentlichen Diskurs gibt. Diesen sollte es aber geben – wie neue Ergebnisse zeigen.

Im Vegleich zu „üblichen“ Tracking-Mechanismen, z.B. basierend auf Cookies, Browser-Fingerprints, Browser-User-Agents, Log-Ins und IP-Adressen, gibt es mehrere Faktoren, die das Tracking basierend auf Touch-Informationen potenziell riskanter machen. Während die anderen Mechanismen virtuelle Identitäten wie Online-Profile tracken, birgt „touch-based tracking“ das Potenzial, die eigentliche (physische) Person am Gerät zu tracken und zu identifizieren. Es kann mehrere User, die das gleiche Gerät verwenden, tracken und unterscheiden. Weiterhin erlaubt es das kontinuierliche Tracking von Usern und führt zum „cross-device tracking“, durch das ein User potenziell über mehrere mobile Geräte verfolgt werden kann.

Hassan Jameel Asghar stellte die Arbeit kürzlich im Rahmen des Privacy Enhancing Technologies Symposium vor (ab 2:45:00).

Via Netzpolitik.org